Cisco Router与InRouter900 建立IPSec VPN的相关配置

http://www.m2mlib.com/uploads/article/20171106/afdf36367031ff4adb58185c539b2e67.png
Cisco Router相关配置 使用串口连接Cisco Router 的console 接口进行配置,波特率9600 数据位8,校验位n,停止位1。 Router>enable  // 特权模式 Router# Router#configure terminal // 进入配置模式 Router(config)#username xxx password xxx //console 登陆用户名密码设置 Router(config)#interface FastEthernet0/0                  //WAN接口 Router(config-if)#ip address 219.239.xxx.xxx 255.255.255.240 Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if)# exit ! Router(config)#interface FastEthernet0/1                         //LAN接口 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config-if)# exit Router(config-if)# no shutdown Router(config)#ip nat inside source list 101 interface FastEthernet0/0 overload   //配置NAT,内容为192.168.1.0/24到192.168.2.0/24的访问不进行地址翻译,到其他网络的访问都翻译成FastEthernet0/0接口的IP地址 Router(config)#ip route 0.0.0.0 0.0.0.0 219.239.xxx.xxx            //配置静态路由! Router(config)#ip dhcp exculded-address 192.168.1.1   //LAN接口DHCP Router(config)#ip dhcp pool lan-pool Router(config)#network 192.168.1.0 255.255.255.0 Router(config)#dns-server 202.106.x.x     // DNS Router(config)#default-router 192.168.1.1 Router(config)#exit ! Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   //定义从192.168.1.0/24-192.168.2.0/24 VPN感兴趣流 Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 //定义从192.168.1.0/24-192.168.3.0/24 VPN感兴趣流 Router(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   Router(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255   Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any //阻止VPN数据流通过NAT,定义NAT规则访问列表,注意先后顺序 ! Router(config)#crypto isakmp policy 1                        //定义IKE策略  Router(config)#encr 3des                                   //定义3des加密算法  Router(config)#hash                                       //定义md5散列算法  Router(config)#authentication pre-share                    //定义为预共享密钥认证方式  Router(config)#group 2                                //定义Diffie-Hellman标识符 Router(config)#crypto isakmp key abc123 address 0.0.0.0 0.0.0.0            //配置预共享密钥为abc123(可以为其他),vpn对等端为任意IP(因为InRouer端通常为动态IP) Router(config)#crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  //创建变换集 esp-3des esp-md5-hmac,其中“ESP-3DES-MD5”为变换集名称 ! Router(config)#crypto dynamic-map DYNMAP 100       //创建动态保密图DYNMAP 100 Router(config)#set transform-set ESP-3DES-MD5     //使用上面定义的变换集ESP-3DES-MD5 Router(config)# match address 100         //援引访问列表确定受保护的流量 ! ! Router(config)#crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP    //将动态保密图集加入到正规的图集中,其中“OUTSIDE_MAP”为正规图集名称 ! Router(config-if)#interface FastEthernet0/0                  //WAN接口 Router(config-if)#crypto map OUTSIDE_MAP  InRouter900相关配置 1. LAN设置 Web方式登录IR900路由器,点击“网络”=>“VLAN端口”菜单,如下图:
http://www.m2mlib.com/uploads/article/20171106/60b1db81c7358715a9b8e270e0a5e7cd.png
http://www.m2mlib.com/uploads/article/20171106/b69b33988dd703a16e8f474013bfe21f.png
设置IR900 LAN端口IP地址,出厂默认IP为192.168.2.1,需将其设置为IPSec VPN本地保护子网网段内。 请根据具体情况修改参数,配置完成后点击应用。 2. IPSec VPN基本参数设置 1、安装向导-新建IPSec隧道
http://www.m2mlib.com/uploads/article/20171106/c3bb3bbf8f18950e288e4e133e7215fb.png
http://www.m2mlib.com/uploads/article/20171106/2fb85a19f8d9d8177f6ffd250db7055c.png
接口名称: cellular  1          // 路由器默认WAN接口,若为有线则改为相应有线接口; 对端地址: 203.86.63.xxx      // Cisco WAN 端口IP地址 协商模式: 野蛮模式 本地子网: 192.168.2.0 255.255.255.0 对端子网: 192.168.1.0 255.255.255.0 第一阶段策略: IKE策略: 3DES-MD5-DH2    //与Cisco协商第一阶段一致; IKE生命周期: 86400         //默认 本地、对端标示: IP地址      //默认 秘钥: abc123                //与crypto isakmp key abc123一致 第二阶段参数: IPSec IKE策略: 3DES-MD5-96 //与Cisco第二阶段一致 IPSec 生命周期: 3600 2、ICMP探测机制  VPN-IPSec配置
http://www.m2mlib.com/uploads/article/20171106/3097f915cca26e5ad72daeced62ebd67.png
ICMP探测服务器 : 192.168.1.1  // Cisco LAN 地址 ICMP探测本地地址: 192.168.2.1  // 本地LAN地址        

1 个评论

文章写得真心好,受益良多

要回复文章请先登录注册