CiscoIOSSite-to-SiteVpn配置案例
-
资源ID:80098723
资源大小:56.78KB
全文页数:9页
- 资源格式: DOCX
下载积分:2金贝
快捷下载
账号登录下载
微信登录下载
微信扫一扫登录
1、金锄头文库是“C2C”交易模式,即卖家上传的文档直接由买家下载,本站只是中间服务平台,本站所有文档下载所得的收益全部归上传人(卖家)所有,作为网络服务商,若您的权利被侵害请及时联系右侧客服;
2、如你看到网页展示的文档有jinchutou.com水印,是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有jinchutou.com水印标识,下载后原文更清晰;
3、所有的PPT和DOC文档都被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;下载前须认真查看,确认无误后再购买;
4、文档大部份都是可以预览的,金锄头文库作为内容存储提供商,无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;
5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据;
6、如果您还有什么不清楚的或需要我们协助,可以点击右侧栏的客服。
|
下载须知 | 常见问题汇总
|
CiscoIOSSite-to-SiteVpn配置案例
CiscoIOSSite-to-SiteVpn配置案例先介绍下SitetositeVPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。一、实验拓扑:总公司R1使用内网10.100.92.0网段 先介绍下Site to site VPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。 一、实验拓扑: 总公司R1使用内网10.100.92.0网段;R2模拟Internet接入商接口;子公司R3使用内网192.168.3.0网段,我们要实现子公司用户能访问总子公内的资源。 二、配置 1、将R1、R2、R3,接口IP及路由配通;意味着公司与子公司之间的公网连接已通。 R1(config)#int lo0 R1(config-if)#ip add 10.100.92.1 255.255.255.0 R1(config)#int s1/0 R1(config-if)#ip add 218.1.2.1255.255.255.252 R1(config-if)#no shut R1(config)#ip router 0.0.0.00.0.0.0 218.1.2.2 R1#wr R2(config)#int s1/0 R2(config-if)#ip add 218.1.2.2 255.255.255.252 R2(config)#int s1/1 R2(config-if)#ip add 220.2.3.1255.255.255.252 R2(config-if)#no shut R2(config)#wr R3(config)#int lo0 R3(config-if)#ip add 192.168.3.1255.255.255.0 R3(config)#int s1/0 R3(config-if)#ip add 220.2.3.2255.255.255.252 R3(config-if)#no shut R3(config)#ip router 0.0.0.00.0.0.0 220.2.3.1 R3(config)#wr 现在公网之间应该是通了,我们VPN使二个内网能共享资源 1)、第一步配置IKE策略 R1(config)#crypto isakmp policy 10 定义10号策略; R1(config-isakmp)#encr 3des 加密方式使用3des; R1(config-isakmp)#hash md5 摘要使用md5; R1(config-isakmp)#authenticationpre-share 认证使用预共享; R1(config-isakmp)#group 2 使用2号组D-H算法; R1(config-isakmp)#exit 2)、第二步设置预共享密钥 R1(config-isakmp)#cypto isakmp cisco123 address 220.2.3.2 3)、第三步设置传输集 R1(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R1(cfg-crypto-trans)#mode tunnel 4)、第四步配置映射 R1(config)#crypto map cisco 10ipsec-isakmp R1(config-crypto-map)#set peer 220.2.3.2 R1(config-crypto-map)#settransform-set ccsp R1(config-crypto-map)#match address101 R1(config)#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255 5)、第五步应用到接口 R1(config)#interface Serial1/0 R1(config-if)#crypto map Cisco先介绍下SitetositeVPN的用途,一是公司与子公司之间互通这个用的最多,它一般同时还与NAT同时使用;二是对公司内二个网段之间互通。一、实验拓扑:总公司R1使用内网10.100.92.0网段 六)、对子公司路由器R3进行配置 1)、第一步配置IKE策略 R3(config)#crypto isakmp policy 10 定义10号策略; R3(config-isakmp)#encr 3des 加密方式使用3des; R3(config-isakmp)#hash md5 摘要使用md5; R3(config-isakmp)#authenticationpre-share 认证使用预共享; R3(config-isakmp)#group 2 使用2号组D-H算法; R3(config-isakmp)#exit 2)、第二步设置预共享密钥 R3(config-isakmp)#cypto isakmp cisco123 address 218.1.2.1 3)、第三步设置传输集 R3(config)#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R3(cfg-crypto-trans)#mode tunnel 4)、第四步配置映射 R3(config)#crypto map cisco 10ipsec-isakmp R3(config-crypto-map)#set peer 218.1.2.1 R3(config-crypto-map)#settransform-set ccsp R3(config-crypto-map)#match address101 R3(config)#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100.92.0 0.0.0.255 5)、第五步应用到接口 R3(config)#interface Serial1/0 R3(config-if)#crypto map Cisco OK,完成配置,我们来检查下: R1#sho crypto isakmp sa 应该可以看到R3的IP,并且是活跃连接的,没有也没关系我们激活它。 R1#ping ip 192.168.3.1 source10.100.92.1CiscoIOS系统配置五大技巧路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令:以下是引用片段:servicetime 路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令: 以下是引用片段: service timestamps log datetime localtime show-timezone msec year 此命令确保路由器以当前时间、时区、事件发生的毫秒和年份来印记日志信息。 下面是时间印记看起来的样子(无年份): 以下是引用片段: *Oct 21 15:31:54.955 CDT: %LINEPROTO-5- UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down 此外,你可以使用service sequence-numbers命令,使其包含一个确认每个事件并显示事件发生顺序的绝对数。输入这个命令就是告诉路由器为一个记录消息增加一个数字,如此一来就确认了此事件并通过有限的序号标明了事件的发生顺序。 技巧之三:"昨日重现"或"改过自新 作为网管员,你可能经常碰到这种情况:今天配置了路由器上的一个接口,第二天就想重新配置它。其实,我们没有必要用一条一条的命令清除所作的设置,也不必考虑到底增加了哪些命令,默认值是什么,我们用一个命令就可以将一个接口快速地恢复为默认值。即只需使用默认的default interface命令,如default interface Fa0/0. 技巧之四:改变过滤器 Linux管理员们都知道如何用 grep实施过滤。笔者有时看到有些思科的网管员明明已经知道在找什么时,却还在那儿浏览大量的运行配置,对此深感疑惑。 对这些管理员而言,可以省却不少麻烦。下一次他们再在思科的IOS命令输出中找什么东西时,可以使用begin或者include.例如,要启动一个 OSPF配置,可以使用sh run | beg router ospf.或者如果要显示一个路由器上所有的IP地址配置,可以使用sh run | inc ip address. 其实,用户还可以使用exclude.可以断言,我们有大量的方法可以使用这些命令过滤技术。路由器事件发生快速很快,以至于有时多个事件会同时发生(尤其是在拥有大量路由的大型路由器上)。为了确保路由器日志能够精确地告诉你哪时发生了何事,可以使用这个命令:以下是引用片段:servicetime 技巧之五:用"do"搞定 许多网管员不断地从全局模式切换地特权模式,然后又回到全局模式,目的是为了进行不同的配置。这可能是许多人的习惯,也许是我们学习配置IOS的方式,好像我们已经习惯了从"配置模式"变换到"显示模式". 现在到了改变老掉牙的习惯的时候了,节省时间需要从使用"do"命令开始。这个命令允许管理员从全局配置模式中运行特权模式命令。更为可喜的是,花费时间极短,完全不同于原来那种繁琐的方式:先退回到特权模式,输入命令,然后再进入全局配置模式。 管理员需要做的是在命令前面使用do命令。使用此命令,就可以在全局配置模式提示符中执行任何可执行的特权模式命令。 例如,你想配置OSPF,并想知道网上的邻居是否上线。示例命令如下: 以下是引用片段: Router(config)# router eigrp 100 Router(config-router)# do sh ip ei nei IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq 2 12.1.1.2 Fa0/0 13 00:52:47 88 2280 0 6581 小结 工欲善其事,必先利其器。找到一个更为有效的工作方法永远是极为重要的。这五个技巧能够帮助你完成当前正在做的同样的任务,不过由于采用了你可能没有关注的一些命令,使得操作更为简洁明快。