Cisco Site To Site VPN配置实例详解
时间:05-09来源:作者:点击数:
Cisco router is configured with the Site to site VPN
Router1:
P1
配置加密策略
crypto isakmp policy 1 ## 配置策略,序号为1
encr 3des ## 加密算法为3des
hash sha ## 完整性校验算法为sha
authentication pre-share ## 验证方式为预共享密钥
group 2 ## DH组为2
lifetime 28800 ## 配置lifetime
crypto isakmp key ad23xj1 address 1.1.1.2 ## 配置Key 加密,如果Key为0,则表示不加密, address 为对端加密地址
crypto isakmp key ad23xj1 address 1.1.1.3 ## 配置Key 加密,如果Key为0,则表示不加密, address 为对端加密地址
crypto isakmp keepalive 10 3 ## 配置每10秒发送一次报文,超过3秒没响应则急需发送。
定义一个扩展的ACL
ip access-list extended s2s_vpn_traffic` ## 定义一个扩展的ACL
permit ip 1.2.9.0 0.0.0.255 any ## 定义一个扩展的ACL
crypto ipsec transform-set s2s esp-3des esp-sha-hmac ## 配置第二阶段策略,命名为s2s; esp(加密头部) 加密方式为3des完整性校验为sha
mode tunnel ## 配置传输通道为隧道模式
P2
定义map
crypto map s2s 50 ipsec-isakmp ## 定义一个map
set peer 1.1.1.2 ## 指定对端地址
set peer 1.1.1.3 ## 指定对端地址
set security-association lifetime seconds 28800
set transform-set s2s ## 关联第二阶段的策略
set pfs group2 ## 配置密钥完美向前保护,与第一阶段的DF group
match address s2s_vpn_traffic ## 关联ACL
在端口下应用map
interface GigabitEthernet0/0 ## 进入interface port
crypto map s2s ## 使用map
配置动态NAT转换地址
ip nat inside source list s2s_vpn_traffic interface GigabitEthernet0/0 overload ## 启用内部源地址转换的动态NAT
Router2:
router2 对比router 1配置即可。
方便获取更多学习、工作、生活信息请关注本站微信公众号
上一篇:局域网网络故障判断常用方法
下一篇:Object-group优化ACL
推荐内容
相关内容
栏目更新
栏目热门
湘公网安备 43102202000103号