在公司的南京办事处与上海办事处之间建立VPN联接。
南京办事处网络设置:
内网IP 10.1.1.0/24
外网IP 202.102.1.5/24
上海办事处网络设置:
内网IP 10.1.2.0/24
外网IP 202.102.1.6/24
南京路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname nanjing
!
enable cisco
!
!
!——以下配置加密——–
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400 指定安全关联的有效期,不设就为默认值
——以下配置密钥方法—–
crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321
!
——以下定义一个转换集—–
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
!
!
——-以下建立加密图——
crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
set peer 202.102.1.6 设定目标地址
set peer 192.168.1.2
set transform-set test1 指定转换集
match address 111 指定加密访问列表111中的地址
!
!
process-max-time 200
!
——-以下设置隧道端口——
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap
!
——-以下设置内网口——
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
!
——-以下设置外网口——
interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
——-以下建立访问列表111——
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
!
上海路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!——以下配置加密——–
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400 指定安全关联的有效期,不设就为默认值
——以下配置密钥方法—–
crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
!
——以下定义一个转换集—–
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
!
!
——-以下建立加密图——
crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
set peer 202.102.1.5 设定目标地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定转换集
match address 111 指定加密访问列表111中的地址
!
!
process-max-time 200
!
——-以下设置隧道端口——
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
——-以下设置内网口——
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
!
——-以下设置外网口——
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
——-以下建立访问列表111——
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
! |
