CiscoIOSSite-to-SiteVpn配置案例

CiscoIOSSite-to-SiteVpn配置案例先介绍下SitetositeVPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。一、实验拓扑：总公司R1使用内网10.100.92.0网段   先介绍下Site to site VPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。   一、实验拓扑：   总公司R1使用内网10.100.92.0网段；R2模拟Internet接入商接口；子公司R3使用内网192.168.3.0网段，我们要实现子公司用户能访问总子公内的资源。   二、配置   1、将R1、R2、R3,接口IP及路由配通；意味着公司与子公司之间的公网连接已通。   R1（config）#int lo0   R1（config-if）#ip add 10.100.92.1 255.255.255.0   R1（config）#int s1/0   R1（config-if）#ip add 218.1.2.1255.255.255.252   R1（config-if）#no shut   R1（config）#ip router 0.0.0.00.0.0.0 218.1.2.2   R1#wr   R2（config）#int s1/0   R2（config-if）#ip add 218.1.2.2 255.255.255.252   R2（config）#int s1/1   R2（config-if）#ip add 220.2.3.1255.255.255.252   R2（config-if）#no shut   R2（config）#wr   R3（config）#int lo0   R3（config-if）#ip add 192.168.3.1255.255.255.0   R3（config）#int s1/0   R3（config-if）#ip add 220.2.3.2255.255.255.252   R3（config-if）#no shut   R3（config）#ip router 0.0.0.00.0.0.0 220.2.3.1   R3（config）#wr   现在公网之间应该是通了，我们VPN使二个内网能共享资源   1）、第一步配置IKE策略   R1（config）#crypto isakmp policy 10    定义10号策略；   R1（config-isakmp）#encr 3des    加密方式使用3des;   R1（config-isakmp）#hash md5    摘要使用md5;   R1（config-isakmp）#authenticationpre-share  认证使用预共享；   R1（config-isakmp）#group 2    使用2号组D-H算法；   R1（config-isakmp）#exit   2）、第二步设置预共享密钥   R1（config-isakmp）#cypto isakmp cisco123 address 220.2.3.2   3）、第三步设置传输集   R1（config）#crypto ipsectransform-set ccsp esp-des esp-md5-hmac   R1（cfg-crypto-trans）#mode tunnel   4）、第四步配置映射   R1（config）#crypto map cisco 10ipsec-isakmp   R1（config-crypto-map）#set peer 220.2.3.2   R1（config-crypto-map）#settransform-set ccsp   R1（config-crypto-map）#match address101   R1（config）#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255   5）、第五步应用到接口   R1（config）#interface Serial1/0   R1（config-if）#crypto map Cisco先介绍下SitetositeVPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。一、实验拓扑：总公司R1使用内网10.100.92.0网段   六）、对子公司路由器R3进行配置   1）、第一步配置IKE策略   R3（config）#crypto isakmp policy 10    定义10号策略；   R3（config-isakmp）#encr 3des    加密方式使用3des;   R3（config-isakmp）#hash md5    摘要使用md5;   R3（config-isakmp）#authenticationpre-share  认证使用预共享；   R3（config-isakmp）#group 2    使用2号组D-H算法；   R3（config-isakmp）#exit   2）、第二步设置预共享密钥   R3（config-isakmp）#cypto isakmp cisco123 address 218.1.2.1   3）、第三步设置传输集   R3（config）#crypto ipsectransform-set ccsp esp-des esp-md5-hmac   R3（cfg-crypto-trans）#mode tunnel   4）、第四步配置映射   R3（config）#crypto map cisco 10ipsec-isakmp   R3（config-crypto-map）#set peer 218.1.2.1   R3（config-crypto-map）#settransform-set ccsp   R3（config-crypto-map）#match address101   R3（config）#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255   5）、第五步应用到接口   R3（config）#interface Serial1/0   R3（config-if）#crypto map Cisco   OK,完成配置，我们来检查下：   R1#sho crypto isakmp sa   应该可以看到R3的IP,并且是活跃连接的，没有也没关系我们激活它。   R1#ping ip 192.168.3.1 source10.100.92.1CiscoIOS系统配置五大技巧路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令：以下是引用片段：servicetime   路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令：   以下是引用片段：   service timestamps log datetime localtime show-timezone msec year   此命令确保路由器以当前时间、时区、事件发生的毫秒和年份来印记日志信息。   下面是时间印记看起来的样子（无年份）：   以下是引用片段：   *Oct 21 15:31:54.955 CDT: %LINEPROTO-5-   UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down   此外，你可以使用service sequence-numbers命令，使其包含一个确认每个事件并显示事件发生顺序的绝对数。输入这个命令就是告诉路由器为一个记录消息增加一个数字，如此一来就确认了此事件并通过有限的序号标明了事件的发生顺序。   技巧之三："昨日重现"或"改过自新   作为网管员，你可能经常碰到这种情况：今天配置了路由器上的一个接口，第二天就想重新配置它。其实，我们没有必要用一条一条的命令清除所作的设置，也不必考虑到底增加了哪些命令，默认值是什么，我们用一个命令就可以将一个接口快速地恢复为默认值。即只需使用默认的default interface命令，如default interface Fa0/0.   技巧之四：改变过滤器   Linux管理员们都知道如何用 grep实施过滤。笔者有时看到有些思科的网管员明明已经知道在找什么时，却还在那儿浏览大量的运行配置，对此深感疑惑。   对这些管理员而言，可以省却不少麻烦。下一次他们再在思科的IOS命令输出中找什么东西时，可以使用begin或者include.例如，要启动一个 OSPF配置，可以使用sh run | beg router ospf.或者如果要显示一个路由器上所有的IP地址配置，可以使用sh run | inc ip address.   其实，用户还可以使用exclude.可以断言，我们有大量的方法可以使用这些命令过滤技术。路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令：以下是引用片段：servicetime   技巧之五：用"do"搞定  许多网管员不断地从全局模式切换地特权模式，然后又回到全局模式，目的是为了进行不同的配置。这可能是许多人的习惯，也许是我们学习配置IOS的方式，好像我们已经习惯了从"配置模式"变换到"显示模式".   现在到了改变老掉牙的习惯的时候了，节省时间需要从使用"do"命令开始。这个命令允许管理员从全局配置模式中运行特权模式命令。更为可喜的是，花费时间极短，完全不同于原来那种繁琐的方式：先退回到特权模式，输入命令，然后再进入全局配置模式。   管理员需要做的是在命令前面使用do命令。使用此命令，就可以在全局配置模式提示符中执行任何可执行的特权模式命令。   例如，你想配置OSPF,并想知道网上的邻居是否上线。示例命令如下：   以下是引用片段：   Router（config）# router eigrp 100   Router（config-router）# do sh ip ei nei   IP-EIGRP neighbors for process 100   H Address Interface Hold Uptime SRTT RTO Q Seq   2 12.1.1.2 Fa0/0 13 00:52:47 88 2280 0 6581   小结   工欲善其事，必先利其器。找到一个更为有效的工作方法永远是极为重要的。这五个技巧能够帮助你完成当前正在做的同样的任务，不过由于采用了你可能没有关注的一些命令，使得操作更为简洁明快。