科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换Cisco IOS Site-to-Site Vpn配置案例

Cisco IOS Site-to-Site Vpn配置案例

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

先介绍下Site to site VPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。

来源:chinalab 2011年9月4日

关键字: CISCO iOS

  • 评论
  • 分享微博
  • 分享邮件

  先介绍下Site to site VPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。

  一、实验拓扑:

  总公司R1使用内网10.100.92.0网段;R2模拟Internet接入商接口;子公司R3使用内网192.168.3.0网段,我们要实现子公司用户能访问总子公内的资源。

  二、配置

  1、将R1、R2、R3,接口IP及路由配通;意味着公司与子公司之间的公网连接已通。

  R1(config)#int lo0

  R1(config-if)#ip add 10.100.92.1 255.255.255.0

  R1(config)#int s1/0

  R1(config-if)#ip add 218.1.2.1255.255.255.252

  R1(config-if)#no shut

  R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2

  R1#wr

  R2(config)#int s1/0

  R2(config-if)#ip add 218.1.2.2 255.255.255.252

  R2(config)#int s1/1

  R2(config-if)#ip add 220.2.3.1255.255.255.252

  R2(config-if)#no shut

  R2(config)#wr

  R3(config)#int lo0

  R3(config-if)#ip add 192.168.3.1255.255.255.0

  R3(config)#int s1/0

  R3(config-if)#ip add 220.2.3.2255.255.255.252

  R3(config-if)#no shut

  R3(config)#ip router 0.0.0.00.0.0.0 220.2.3.1

  R3(config)#wr

  现在公网之间应该是通了,我们测试一下,如果不通大家请检查下。

  R1#ping 218.1.2.2

  R1#ping 220.2.3.2

  R3#ping 220.2.3.1

  R3#ping 218.1.2.1

  这时我们从内网ping是不通的测试一下:

  R1#ping ip 192.168.3.1 source10.100.92.1

  二、配置VPN使二个内网能共享资源

  1)、第一步配置IKE策略

  R1(config)#crypto isakmp policy 10 定义10号策略;

  R1(config-isakmp)#encr 3des 加密方式使用3des;

  R1(config-isakmp)#hash md5 摘要使用md5;

  R1(config-isakmp)#authenticationpre-share 认证使用预共享;

  R1(config-isakmp)#group 2 使用2号组D-H算法;

  R1(config-isakmp)#exit

  2)、第二步设置预共享密钥

  R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2

  3)、第三步设置传输集

  R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

  R1(cfg-crypto-trans)#mode tunnel

  4)、第四步配置映射

  R1(config)#crypto map cisco 10ipsec-isakmp

  R1(config-crypto-map)#set peer 220.2.3.2

  R1(config-crypto-map)#settransform-set ccsp

  R1(config-crypto-map)#match address101

  R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255

  5)、第五步应用到接口

  R1(config)#interface Serial1/0

  R1(config-if)#crypto map Cisco

  六)、对子公司路由器R3进行配置

  1)、第一步配置IKE策略

  R3(config)#crypto isakmp policy 10 定义10号策略;

  R3(config-isakmp)#encr 3des 加密方式使用3des;

  R3(config-isakmp)#hash md5 摘要使用md5;

  R3(config-isakmp)#authenticationpre-share 认证使用预共享;

  R3(config-isakmp)#group 2 使用2号组D-H算法;

  R3(config-isakmp)#exit

  2)、第二步设置预共享密钥

  R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1

  3)、第三步设置传输集

  R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

  R3(cfg-crypto-trans)#mode tunnel

  4)、第四步配置映射

  R3(config)#crypto map cisco 10ipsec-isakmp

  R3(config-crypto-map)#set peer 218.1.2.1

  R3(config-crypto-map)#settransform-set ccsp

  R3(config-crypto-map)#match address101

  R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255

  5)、第五步应用到接口

  R3(config)#interface Serial1/0

  R3(config-if)#crypto map Cisco

  OK,完成配置,我们来检查下:

  R

  六)、对子公司路由器R3进行配置

  1)、第一步配置IKE策略

  R3(config)#crypto isakmp policy 10 定义10号策略;

  R3(config-isakmp)#encr 3des 加密方式使用3des;

  R3(config-isakmp)#hash md5 摘要使用md5;

  R3(config-isakmp)#authenticationpre-share 认证使用预共享;

  R3(config-isakmp)#group 2 使用2号组D-H算法;

  R3(config-isakmp)#exit

  2)、第二步设置预共享密钥

  R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1

  3)、第三步设置传输集

  R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac

  R3(cfg-crypto-trans)#mode tunnel

  4)、第四步配置映射

  R3(config)#crypto map cisco 10ipsec-isakmp

  R3(config-crypto-map)#set peer 218.1.2.1

  R3(config-crypto-map)#settransform-set ccsp

  R3(config-crypto-map)#match address101

  R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255

  5)、第五步应用到接口

  R3(config)#interface Serial1/0

  R3(config-if)#crypto map Cisco

  OK,完成配置,我们来检查下:

  R1#sho crypto isakmp sa

  应该可以看到R3的IP,并且是活跃连接的,没有也没关系我们激活它。

  R1#ping ip 192.168.3.1 source10.100.92.1

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章