科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道在Cisco IOS上部署IPSec VPN

在Cisco IOS上部署IPSec VPN

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

使用Cisco的老式IOS包,你不得不自行选择需要的功能集。新包装已经被简化了。任何具有高级安全功能集及以上的,都具有IPSec VPN和IOS防火墙能力。

作者:中国IT实验室 2007年8月17日

关键字: CISCO iOS 路由器 路由器设置 路由器配置

  • 评论
  • 分享微博
  • 分享邮件

  “网站到网站”的VPN信道需要一个更便宜而且通常也更快速的替代品,以代替桢中继甚至MPLS WAN(广域网)连接。“网站到网站”的VPN信道无需整月的载波费用,仅仅需要一个Internet连接,比如DSL或者有线宽带——比桢中继甚至 MPLS相对来说便宜得多。你可以使用商业级别的静态IP DSL或者Cable,本文将主要讨论该种情况。我们将假定你有基本的路由器,并连到了Internet上。

  你甚至可以在一端使用更便宜的动态IP ADSL或有线cable服务,而另一端使用一个静态IP地址,不过这种情形我们将在以后的文章中再进行具体讨论。

所需软硬件

  所有Cisco的路由器,从800到7600系列都有正确的软件包支持IPSec.如果你有一个老式 1700, 2600, 3600, 或7200的Cisco路由器IPSec许可,你可以继续使用它。不过,那些路由器已经快到失效期,你每年将不得不为2600以及其他上述老路由器的合同支付大量费用,与其花这些钱其实还不如考虑购买一台新的1841,不但有全新的功能,价格也不贵。

  新式1841路由器实际比旧式3600系列路由器有更快的IPSec吞吐量,而费用比旧式3600路由器一年的Cisco SmartNet支持费用来说还要便宜。如果你选用更新,更小,更便宜的路由器,还能节省下更多的金钱。如果你不得不为旧式路由器购买IOS升级,我建议你忘掉这个想法——买台全新路由器还要更便宜些。

  使用Cisco的老式IOS包,你不得不自行选择需要的功能集。新包装已经被简化了。任何具有高级安全功能集及以上的,都具有IPSec VPN和IOS防火墙能力。绝大多数更新更小的路由器,比如1800和2800系列路由器,都携带有一个最小化高级安全功能集,所以你的机器从盒子里拿出来就已经是万事俱备了。

  IPSec如何在Cisco路由器上工作

  图A给出了一个IPSec在Cisco路由器上工作的简化视图。两台路由器建立了一个虚拟的IPSec信道,彼此之间使用公用的运算规则和参数。红色通信表示是直接穿越路由器去往Internet的,而不通过VPN信道。绿色通信则表示是经由IPSec VPN信道,从一个网站传往另一个网站的通讯。

图A

  了解这个流程图很重要,可以知道数据从哪里进入路由器,并进行默认网关路由后,进入外部接口。一旦数据到达外部接口,它会检查源,目标,以及该通讯的服务,以确认它是否需要进入crypto map.在图A中的crypto map使用一个拓展ACL,叫做“Crypto-list(加密到列表)”。你可以看到这个拓展ACL在我们的IPSec模版中被使用。

适合Cisco IOS的IPSec模版

  要开始我们的IPSec模版,你需要从这里下载(http: //downloads.techrepublic.com.com/abstract.aspx?docid=265619)。下载了Excel文件后,你需要把变量表中的黄色区域填好。点“替换(Replace)”按钮,它会在一个名为“IPSEC-1”的新表中生成适当的IPSec配置。完成后,你只需要从Excel中拷贝并粘贴到Cisco CLI(命令行接口)中即可。你可以直接从Excel中拷贝到一个Telnet或SSH会话中,甚至是拷贝到控制台端口中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章