思科路由器实现VPN的基本配置方法

　　利用路由器实现VPN的基本配置方法

　　工作原理：一边服务器的网络子网为192.168.1.0/24路由器为100.10.15.1另一边的服务器为192.168.10.0/24路由器为 200.20.25.1.执行下列步骤：

　　1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)

　　2. 为SA协商过程配置IKE.

　　3. 配置IPSec.

　　配置IKE:

　　Shelby(config)#crypto isakmp policy 1

　　注释：policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅

　　Shelby(config-isakmp)#group 1

　　注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2.参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

　　Shelby(config-isakmp)#authentication pre-share

　　注释：告诉路由器要使用预先共享的密码。

　　Shelby(config-isakmp)#lifetime 3600

　　注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。

　　Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1Netscreen 防火墙

　　注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1.

　　配置IPSec

　　Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255

　　注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。

　　Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac

　　注释：这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。