利用PIX与路由器做点对点VPN[2]
文章作者 100test 发表时间 2007:03:14 13:28:34
来源 100Test.Com百考试题网
创建IKE策略:
定义认证方法为预共享密鈅
isakmp policy 1 authentication pre-share
定义认证方法为预加密方式,以及算法,组,生命周期(默认是86400)
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
在接口上应用IKE策略(outside指外网口)
isakmp identity address
isakmp enable outside
这里记得还要补上一条:因为点对点的VPN之间的网络互相访问的时候是不做NAT出去的,所以要加上一条ACL阻止这两个网络之间访问是不能做NAT出去。
access-list nonat permit ip 10.0.X.0 255.255.240.0 192.168.X.0 255.255.255.0
nat (inside) 0 access-list nonat
路由器上的配置:
原理同PIX的配置是一样的,但是在命令以及应用上有些稍的差别:
先建立访问控制列表130,为下面的VPN加密调用:
access-list 130 permit ip 10.0.X.0 0.0.0.255 192.168.X.0 0.0.0.255
access-list 130 permit ip 192.168.X.0 0.0.0.255 10.0.X.0 0.0.0.255
在配置模式下:
crypto isakmp policy 1 创建IKE策略
hash md5 定义散列算法
authentication pre-share 定义预认证方法为预共享密鈅
crypto isakmp key ******** address 210.211.198.14 配置预共享密鈅
crypto ipsec transform-set sharks esp-3des esp-md5-hmac 配置IPSec变换集
crypto map testvpn 1 ipsec-isakmp 创建加密图
set peer 210.211.198.14 指定对等体
set transform-set sharks 指定变换集
match address 130 引用加密访问列表确定受保护的流量
在接下模式下,应用加密图:
interface FastEthernet0/0
crypto map testvpn
这里还需要注意一点是路由器内网段不做NAT出去:
ip nat pool internet 120.56.147.112 120.56.147.112 netmask 255.255.255.252
ip nat inside source route-map nonat pool internet overload
route-map nonat permit 10
match ip address 130
接口上应用NAT:
ip nat outside 在外网口应用NAT
ip nat inside 在内网口应用NAT
当然这只是一部分的测试步骤,也是最基本的site to site VPN的配置方法,这次是跟美国的一个客户做这和PIX对路由器做VPN,而我们公司本来已经在两台PIX之间已经做好了site to site VPN,所以跟上面的配置还是有些区别的。
另外一点是,老外采用的VPN方式跟我们平常做的还不一样,他们喜欢用一个公网IP来代替内部一个网段来做这种site to site VPN,这无形中又产生了些微的差别。但总体的配置步骤以及方式方法都还是一样的。