国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 學院 > 網絡通信 > 正文

Cisco路由器上手工方式VPN的實現

2019-11-05 01:21:20
字體:
來源:轉載
供稿:網友

  Cisco 路由器上VPN的實現:
  1、軟件要求:
  需要ENTERPRISE PLUS ipSEC 56的IOS,目前使用的比較穩定版本是12.07T
  2、硬件要求:
  8 MB Flash and 40 MB RAM
  在Download IOS版本時,會提示所Download的IOS版本
  的軟硬件要求。
  3、IPSec手工方式的注重事項:
  (1)加密通道一旦建立,就不再斷開
  (2)Manual Key不提供anti-replay的功能
  (3)在Manual Key方式時,access-list中只有1條permit起作用,其他都被忽略。
  (4)在Manual Key方式下,兩邊的transform set的名字必須一樣。
  4、VPN手工方式需要的主要命令:
  (1)access-list
  設置access-list,有對符合什么樣條件的IP包進行加密。
  (2)crypto isakmp
  默認是使用crypto isakmp方式,所以在手工方式下,需要禁止此選項。
  (3)crypto ipsec
  配置IPSec的加密方式,選擇manual方式
  (4)crypto map
  配置IPSec的加密方式
  a)set peer
  設置遠程VPN網關
  b)set security-association
  設置安全聯盟,主要有inbound和outbound
  c)set transform-set
  設置加密形式
  d)match address
  對匹配access-list的進行加密。
  
  5、VPN的手工實現方式:
  (1)配置access-list,對哪些包建立VPN連接。
  access-list 101 permit ip host 192.168.0.1 host
  192.168.1.1
  (2)取消VPN的自動協商方式
  no crypto isakmp enable
  (3)建立一個IPSec的封裝方式―兩邊的路由器需要一樣的名稱。在舉例中是encry-des
  crypto ipsec transform-set encry-desesp-des
  (4)建立一個VPN連接需要的各種條件―這里是ipsec-manual方式
  crypto map vpntest 8 ipsec-manual
  (5)在上一步用crypto map進入crypto配置模式
  a) 配置遠程的VPN網關
  set peer 202.106.185.2
  b) 配置進出的安全聯盟
  set security-association inbound esp 1000 cipher 21 authenticator 01
  配置入境聯盟 加密方式 順序號
  set security-association outbound esp 1001 cipher 12 authenticator 01
  c)設置IPSec的加密方式
  set transform-set encry-des
  d)對匹配地址進行加密
  match address 101
  (6)在路由器外部網口上綁定加密方式
  int e 0/1
  ip addr 202.106.185.1 255.255.255.0
  crypto map vpntest
  
  6、注重事項
  (1)在兩端的access-list要互為相反,如在A路由器上寫:
  access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
  則在B路由器上寫:
  access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
  
  (2)在兩端的transform set名稱要一致
  如都寫crypto ipsec transform-set encry-des esp-des
  
  (3)在一端的inbound就是另一端的outboud,一端的outbound是另一端的inboud。因此他們的序列好應該相反。
  如在A路由器上寫:
  set security-association inbound esp 1000 cipher 21 authenticator 01
  set security-association outbound esp 1001 cipher 12 authenticator 01
  則在B路由器上寫:
  set security-association inbound esp 1001 cipher 12 authenticator 01
  set security-association outbound esp 1000 cipher 21 authenticator 01
  
  (4)總之在使用手工方式時,在兩端的配置應該盡量一樣或相對。
  7、應用條件
  我認為在路由器上做VPN主要有以下幾種應用:
  (1)可以使用在電信中二級節點和一級節點進行遠程治理認證時使用。而一級節點和骨干節點由于通訊量比較大,不建議使用VPN方式。而且為了減低負載只有在傳輸非凡應用時建議使用VPN,不是只是簡單地判定Source IP,Destination IP。
  (2)移動用戶在跟自己公司的服務器進行連接時使用。
  (3)對于分公司、母公司這種形式在相互通信過程中使用。
  8、用VPN的好處
  (1)節約成本,因為不要在做大量投資,購買專業設備,只需用現有的路由器即可。
  (2)實現了加密,保證重要數據在傳輸過程中的安全性。
  (3)靈活性強。假如用戶通過路由器接入Internet,則可以自己配置保證安全性。不過對于ISP來說用處不大。
  9、VPN應用舉例:
  
  在路由器R1上配置如下:
  no crypto isakmp enable
  crypto ipsec transform-set encry-des esp-des
  crypto map vpntest 8 ipsec-manual
  set peer 202.106.185.2
  set security-association inbound esp 1000 cipher 21 authenticator 01
  set security-association outbound esp 1001 cipher 12 authenticator 01
  set transform-set encry-des match address 101
  interface Ethernet0/0
  ip address 192.168.0.1 255.255.255.0
  interface Ethernet0/1
  ip address 202.106.185.1 255.255.255.0
  crypto map vpntest
  ip route 0.0.0.0 0.0.0.0 202.106.185.2
  access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
  
  
  在路由器R2上配置如下:
  no crypto isakmp enable
  crypto ipsec transform-set encry-des esp-des
  crypto map vpntest 8 ipsec-manual set peer 202.106.185.1
  set security-association inbound esp 1001 cipher 12 authenticator 01
  set security-association outbound esp 1000 cipher 21 authenticator 01
  set transform-set encry-des match address 101
  interface Ethernet0/0
  ip address 192.168.1.1 255.255.255.0
  interface Ethernet0/1
  ip address 202.106.185.2 255.255.255.0
  crypto map vpntest
  ip route 0.0.0.0 0.0.0.0 202.106.185.1
  access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
  
  
  IKE方式的實現
  1、IKE使用UPD 500
  2、支持CA
  3、支持移動用戶
  IKE包括的組件
  1、DES
  2、Diffie-Hellman-preshare key
  3、RSA signatures(CA)and RSA encrypted nonces
  IKE配置內容:
  1、enable IKE―default enable
  2、accesslist
  3、transformset
  4、crypto map
  5、binding interface
  IKE Policy―兩邊的號碼可以不一樣,匹配:
  authentication、hash、diff-herman、encrytpion,lifetime(取最小值)
  1、authentication
  (1)RSA signature
  (2)RSA non
  (3)Preshare Key
  2、encryption
  
  IKE配置
  (1)配置accesslist
  (2)crypto isakmp enable(默認打開,但為了避免,還是寫上)
  (3)crypto isakmp policy 10
  a)encryption algorithm:DES
  b)hash algorithm:SHA1
  c)authentication method:RSA sig
  d)Diffie-Hellman group:1
  e)Lifetime:86400
  (4)crypto isakmp key test address 202.106.100.2
  (5)crypto ipsec transform-set set2 ah-sha-hmac
  esp-des esp-sha-hmac
  (6)crypto map IKE ipsec-isakmp
  a)set peer remote IP
  b)set transform-set
  c)set pfs group2
  d)match address
  (7)dir
  使用RSA的-encr方式
  ip domain-name
  crypto key generate rsa
  sh crypto key mypubkey rsa
  crypto key pubkey-chain rsa
  key-string
  
  什么時候使用手工方式,什么時候使用IKE方式


發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 安岳县| 建昌县| 钦州市| 光泽县| 棋牌| 开鲁县| 民和| 历史| 揭西县| 德州市| 天门市| 松潘县| 东乌珠穆沁旗| 潼关县| 顺昌县| 葫芦岛市| 平顺县| 治县。| 肇庆市| 长顺县| 白水县| 十堰市| 六安市| 霸州市| 中超| 南京市| 满洲里市| 沧源| 昭平县| 沁水县| 乐昌市| 延寿县| 大宁县| 八宿县| 库尔勒市| 南开区| 华容县| 定州市| 乐东| 闵行区| 普定县|