CiscoIOSSite-to-SiteVpn配置案例

1、CiscoIOSSite-to-SiteVpn配置案例先介绍下SitetositeVPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。一、实验拓扑：总公司R1使用内网10.100.92.0网段 先介绍下Site to site VPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。 一、实验拓扑： 总公司R1使用内网10.100.92.0网段；R2模拟Internet接入商接口；子公司R3使用内网192.168.3.0网段，我们要实现子公司用户能访问总子公内的资源。 二、配置 1、将R1、R2、R3,接口IP及路由配通；意味着公司与子公司之间的公网连接已通。 R1（config）#int lo0 R1（config-if）#ip add 10.100.92.1 255.255.255.0 R1（config）#int s1/0 R1（config-if）#ip add 218.1.2.1255.255.255.252 R1（config-if）#no shut R1（c

2、onfig）#ip router 0.0.0.00.0.0.0 218.1.2.2 R1#wr R2（config）#int s1/0 R2（config-if）#ip add 218.1.2.2 255.255.255.252 R2（config）#int s1/1 R2（config-if）#ip add 220.2.3.1255.255.255.252 R2（config-if）#no shut R2（config）#wr R3（config）#int lo0 R3（config-if）#ip add 192.168.3.1255.255.255.0 R3（config）#int s1/0 R3（config-if）#ip add 220.2.3.2255.255.255.252 R3（config-if）#no shut R3（config）#ip router 0.0.0.00.0.0.0 220.2.3.1 R3（config）#wr 现在公网之间应该是通了，我们VPN使二个内网能共享资源 1）、第一步配置IKE策略 R1（config）#crypto isakmp pol

3、icy 10 定义10号策略； R1（config-isakmp）#encr 3des 加密方式使用3des; R1（config-isakmp）#hash md5 摘要使用md5; R1（config-isakmp）#authenticationpre-share 认证使用预共享； R1（config-isakmp）#group 2 使用2号组D-H算法； R1（config-isakmp）#exit 2）、第二步设置预共享密钥 R1（config-isakmp）#cypto isakmp cisco123 address 220.2.3.2 3）、第三步设置传输集 R1（config）#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R1（cfg-crypto-trans）#mode tunnel 4）、第四步配置映射 R1（config）#crypto map cisco 10ipsec-isakmp R1（config-crypto-map）#set peer 220.2.3.2 R1（config-crypto-map）

4、#settransform-set ccsp R1（config-crypto-map）#match address101 R1（config）#access-list 101 permitip 10.100.92.0 0.0.0.255 192.168.3.0 0.0.0.255 5）、第五步应用到接口 R1（config）#interface Serial1/0 R1（config-if）#crypto map Cisco先介绍下SitetositeVPN的用途，一是公司与子公司之间互通这个用的最多，它一般同时还与NAT同时使用；二是对公司内二个网段之间互通。一、实验拓扑：总公司R1使用内网10.100.92.0网段 六）、对子公司路由器R3进行配置 1）、第一步配置IKE策略 R3（config）#crypto isakmp policy 10 定义10号策略； R3（config-isakmp）#encr 3des 加密方式使用3des; R3（config-isakmp）#hash md5 摘要使用md5; R3（config-isakmp）#authenticationpr

5、e-share 认证使用预共享； R3（config-isakmp）#group 2 使用2号组D-H算法； R3（config-isakmp）#exit 2）、第二步设置预共享密钥 R3（config-isakmp）#cypto isakmp cisco123 address 218.1.2.1 3）、第三步设置传输集 R3（config）#crypto ipsectransform-set ccsp esp-des esp-md5-hmac R3（cfg-crypto-trans）#mode tunnel 4）、第四步配置映射 R3（config）#crypto map cisco 10ipsec-isakmp R3（config-crypto-map）#set peer 218.1.2.1 R3（config-crypto-map）#settransform-set ccsp R3（config-crypto-map）#match address101 R3（config）#access-list 101 permitip 192.168.3.0 0.0.0.255 10.100

6、.92.0 0.0.0.255 5）、第五步应用到接口 R3（config）#interface Serial1/0 R3（config-if）#crypto map Cisco OK,完成配置，我们来检查下： R1#sho crypto isakmp sa 应该可以看到R3的IP,并且是活跃连接的，没有也没关系我们激活它。 R1#ping ip 192.168.3.1 source10.100.92.1CiscoIOS系统配置五大技巧路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令：以下是引用片段：servicetime 路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令： 以下是引用片段： service timestamps log datetime localtime show-timezone msec year 此命令确保路由器以当前时间、时区、事件发生的毫秒

7、和年份来印记日志信息。 下面是时间印记看起来的样子（无年份）： 以下是引用片段： *Oct 21 15:31:54.955 CDT: %LINEPROTO-5- UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down 此外，你可以使用service sequence-numbers命令，使其包含一个确认每个事件并显示事件发生顺序的绝对数。输入这个命令就是告诉路由器为一个记录消息增加一个数字，如此一来就确认了此事件并通过有限的序号标明了事件的发生顺序。技巧之三：昨日重现或改过自新 作为网管员，你可能经常碰到这种情况：今天配置了路由器上的一个接口，第二天就想重新配置它。其实，我们没有必要用一条一条的命令清除所作的设置，也不必考虑到底增加了哪些命令，默认值是什么，我们用一个命令就可以将一个接口快速地恢复为默认值。即只需使用默认的default interface命令，如default interface Fa0/0.技巧之四：改变过滤器 Linux管理员们都知道如何用 grep实施过滤。笔者有时

8、看到有些思科的网管员明明已经知道在找什么时，却还在那儿浏览大量的运行配置，对此深感疑惑。 对这些管理员而言，可以省却不少麻烦。下一次他们再在思科的IOS命令输出中找什么东西时，可以使用begin或者include.例如，要启动一个 OSPF配置，可以使用sh run | beg router ospf.或者如果要显示一个路由器上所有的IP地址配置，可以使用sh run | inc ip address. 其实，用户还可以使用exclude.可以断言，我们有大量的方法可以使用这些命令过滤技术。路由器事件发生快速很快，以至于有时多个事件会同时发生（尤其是在拥有大量路由的大型路由器上）。为了确保路由器日志能够精确地告诉你哪时发生了何事，可以使用这个命令：以下是引用片段：servicetime技巧之五：用do搞定 许多网管员不断地从全局模式切换地特权模式，然后又回到全局模式，目的是为了进行不同的配置。这可能是许多人的习惯，也许是我们学习配置IOS的方式，好像我们已经习惯了从配置模式变换到显示模式. 现在到了改变老掉牙的习惯的时候了，节省时间需要从使用do命令开始。这个命令允许管理员从全局配置模式中运行特权模式命令。更为可喜的是，花费时间极短，完全不同于原来那种繁琐的方式：先退回到特权模式，输入命令，然后再进入全局配置模式。 管理员需要做的是在命令前面使用do命令。使用此命令，就可以在全局配置模式提示符中执行任何可执行的特权模式命令。 例如，你想配置OSPF,并想知道网上的邻居是否上线。示例命令如下： 以下是引用片段： Router（config）# router eigrp 100 Router（config-router）# do sh ip ei nei IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq 2 12.1.1.2 Fa0/0 13 00:52:47 88 2280 0 6581小结 工欲善其事，必先利其器。找到一个更为有效的工作方法永远是极为重要的。这五个技巧能够帮助你完成当前正在做的同样的任务，不过由于采用了你可能没有关注的一些命令，使得操作更为简洁明快。

《CiscoIOSSite-to-SiteVpn配置案例》由会员jia****ihe分享，可在线阅读，更多相关《CiscoIOSSite-to-SiteVpn配置案例》请在金锄头文库上搜索。