版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、VPN的基本配置VPN的基本配置[精]作者:yc_liang2003424VPN的基本配置工作原理:一邊服務(wù)器的網(wǎng)絡(luò)子網(wǎng)為192.168.1.024路由器為100.10.15.1另一邊的服務(wù)器為192.168.10.024路由器為200.20.25.1。執(zhí)行下列步驟:1.確定一個預(yù)先共享的密鑰(保密密碼)(以下例子保密密碼假設(shè)為noIP4u)2.為SA協(xié)商過程配置IKE。3.配置IPSec。配置IKE:Shelby(config)#cr
2、yptoisakmppolicy1注釋:policy1表示策略1,假如想多配幾個VPN,可以寫成policy2、policy3┅Shelby(configisakmp)#group1注釋:除非購買高端路由器,或是VPN通信比較少,否則最好使用group1長度的密鑰,group命令有兩個參數(shù)值:1和2。參數(shù)值1表示密鑰使用768位密鑰,參數(shù)值2表示密鑰使用1024位密鑰,顯然后一種密鑰安全性高,但消耗更多的CPU時間。Shelby(con
3、figisakmp)#authenticationpreshare注釋:告訴路由器要使用預(yù)先共享的密碼。Shelby(configisakmp)#lifetime3600注釋:對生成新SA的周期進行調(diào)整。這個值以秒為單位,默認值為86400,也就是一天。值得注意的是兩端的路由器都要設(shè)置相同的SA周期,否則VPN在正常初始化之后,將會在較短的一個SA周期到達中斷。Shelby(config)#cryptoisakmpkeynoIP4uad
4、dress200.20.25.1注釋:返回到全局設(shè)置模式確定要使用的預(yù)先共享密鑰和指歸VPN另一端路由器IP地址,即目的路由器IP地址。相應(yīng)地在另一端路由器配置也和以上命令類似,只不過把IP地址改成100.10.15.1。配置IPSecShelby(config)#accesslist130permitip192.168.1.00.0.0.255172.16.10.00.0.0.255注釋:在這里使用的訪問列表號不能與任何過濾訪問列表相
5、同,應(yīng)該使用不同的訪問列表號來標識VPN規(guī)則。Shelby(config)#cryptoipsectransfmsetvpn1ahmd5hmacespdesespmd5hmac注釋:這里在兩端路由器唯一不同的參數(shù)是vpn1,這是為這種選項組合所定義的名稱。在兩端的路由器上,這個名稱可以相同,也可以不同。以上命令是定義所使用的IPSec參數(shù)。為了加強安全性,要啟動驗證報頭。由于兩個網(wǎng)絡(luò)都使用私有地址空間,需要通過隧道傳輸數(shù)據(jù),因此還要使用
6、安全封裝協(xié)議。最后,還要定義DES作為保密密碼鑰加密算法。Shelby(config)#cryptomapshtsec60ipsecisakmp注釋:以上命令為定義生成新保密密鑰的周期。如果攻擊者破解了保密密鑰,他就能夠解使用同一個密鑰的所有通信。基于這個原因,我們要設(shè)置一個較短的密鑰更新周期。比如,每分鐘生成一個新密鑰。這個命令在VPN兩端的路由器上必須匹配。參數(shù)shtsec是我們給這個配置定義的名稱,稍后可以將它與路由器的外部接口建
7、立關(guān)聯(lián)。Shelby(configcryptomap)#setpeer200.20.25.1注釋:這是標識對方路由器的合法IP地址。在遠程路由器上也要輸入類似命令,只是對方路由器地址應(yīng)該是100.10.15.1。Shelby(configcryptomap)#settransfmsetvpn1Shelby(configcryptomap)#matchaddress130注釋:這兩個命令分別標識用于這個連接的傳輸設(shè)置和訪問列表。Shelb
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 利用路由器實現(xiàn)vpn的基本配置方法
- vpn配置
- juniper netscreen ssl vpn配置手冊
- 外網(wǎng)訪問erp vpn配置方法
- 配置成vpn服務(wù)器的方法
- vpn客戶端配置指南-anta
- VPN配置管理功能的設(shè)計與實現(xiàn).pdf
- asa5510防火墻vpn配置
- secpath防火墻gre vpn典型組網(wǎng)配置-
- 零配置VPN客戶端的設(shè)計與實現(xiàn).pdf
- vpn(ipsec)的配置-路由器配置(內(nèi)部培訓(xùn))神州數(shù)碼網(wǎng)絡(luò)大學(xué)
- linux基本網(wǎng)絡(luò)配置
- 防火墻的基本配置-
- vpn(l2tppptp)的配置-路由器配置(內(nèi)部培訓(xùn))神州數(shù)碼網(wǎng)絡(luò)大學(xué)
- VPN網(wǎng)關(guān)基本性能檢測的研究與實現(xiàn).pdf
- 思科路由器基本的配置和常用的配置命令
- hillstone sg-6000防火墻配置ssl vpn實例
- 思科基本配置命令詳解
- 思科基本配置命令詳解
- 運行環(huán)境配置基本要求
評論
0/150
提交評論