日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

低成本 高安全 某集團(tuán)VPN組網(wǎng)案例( 三 )

云知道


Routersh(config)#interface Ethernet 0/1
Routersh(config-if)#crypto map mymap
西安分支機(jī)構(gòu)的路由器命令為Routerxa,具體步驟配置如下 。
Routerxa(config)# crypto isakmp enable
Routerxa(config)# crypto isakmp policy 110
Routerxa(config-isakmp)# authentication pre-share
Routerxa(config-isakmp)# encryption des
Routerxa(config-isakmp)# group 1
Routerxa(config-isakmp)# hash md5
Routerxa(config-isakmp)# lifetime 86400
Routerxa(config-isakmp)#exit
Routerxa(config)#rypto isakmp identity address
Routerxa(config)# crypto isakmp key cisco1234 address 172.30.1.2
Routerxa(config)#crypto IPsec transform mine esp-des
Routerxa(config)#crypto map mymap 10 IPsec-isakmp
Routerxa(config-crypto-map)#set peer 172.30.1.2
Routerxa(config-crypto-map)#set transform-set mine
Routerxa(config-crypto-map)#match address 110
Routerxa(config-crypto-map)#exit
Routerxa(config)#access-list 110 permit tcp 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255
Routerxa(config)#interface Ethernet 0/1
Routerxa(config-if)#crypto map mymap
至此,一個3站點VPN的配置完成 。
這個實例的難點在于如何確認(rèn)哪些流量在通過線路時能夠啟用VPN的通信,它們的關(guān)鍵在于ACL的定義 。第11章用大量的篇幅介紹了ACL技術(shù),但ACL中的Permit和Deny兩個動作在VPN中發(fā)生了變化,不再是允許通過和拒絕通過的概念 。
在VPN中,Permit代表該流量需要加密傳遞,換另外一種說法,就是對該流量使用VPN鏈路傳遞;Deny代表該流量不需要加密傳遞,不對該流量使用VPN鏈路傳遞 。所以請網(wǎng)絡(luò)管理員在使用ACL時需要注意此處的定義 。
Easy VPN的配置
本節(jié)之前介紹的案例是站點到站點VPN,實現(xiàn)站點到站點的VPN和遠(yuǎn)距離工作者或工作在外的員工所使用的遠(yuǎn)程訪問類型的VPN不同的是:站點到站點VPN利用連接兩端的網(wǎng)關(guān),(Internet上)網(wǎng)關(guān)到網(wǎng)關(guān)的流量是加密的 。
為了向遠(yuǎn)距離工作者或工作在外的員工所提供的遠(yuǎn)程訪問類型的VPN,是不是也要配置那么多的命令和參數(shù)呢?很多用戶會提出有沒有簡單點的VPN配置來完成這樣的要求 。本節(jié)介紹一種簡單的VPN配置,即Easy VPN 。
Easy VPN概述
從Easy VPN的名字上就知道這應(yīng)該是個簡單的VPN應(yīng)用技術(shù) 。Easy VPN分為Easy VPN Server和Easy VPN Remote兩種 。Easy VPN Server是Remote-Access VPN專業(yè)設(shè)備,配置復(fù)雜,支持Policy Pushing等特性 ?,F(xiàn)在的900、1700、Pix、Vpn 3002和ASA等很多設(shè)備都支持 。
而Easy VPN Remote就是專門為了小的分支機(jī)構(gòu)所設(shè)計的,一般情況下,小分支接口的網(wǎng)絡(luò)管理員的水平?jīng)]有那么高,不可能去配置一堆復(fù)雜命令來實現(xiàn)Site-to-Site VPN,這時候,只需要通過Easy VPN Remote這個特性配置幾條簡單的命令,就可以Site-to-Site VPN 。所有的配置都在Server端來完成,Client的VPN配置都由Server端采用"推"的方式應(yīng)用到分支機(jī)構(gòu)的設(shè)備上 。這種技術(shù)極大地避免了分支機(jī)構(gòu)配置VPN失敗的問題 。但這種VPN不支持路由,不支持組播,只能在IP協(xié)議下工作,不支持狀態(tài)故障切換等技術(shù) 。所以,需要網(wǎng)絡(luò)管理員在自己的實際工作中留意這些功能是否需要,再決定是否實施Easy VPN技術(shù) 。
基于命令行的Easy VPN配置實例
下面介紹一個基于IOS命令行的Easy VPN Server/Remote配置實例,如圖2所示 。
Easy VPN接入
RouterServer的配置如下 。
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192
crypto IPsec transform-set vclient-tfs esp-3des esp-sha-hmac

推薦閱讀