Cisco Router与InRouter900 建立IPSec VPN的相关配置

Cisco Router相关配置 使用串口连接Cisco Router 的console 接口进行配置，波特率9600 数据位8，校验位n，停止位1。 Router>enable  // 特权模式 Router# Router#configure terminal // 进入配置模式 Router(config)#username xxx password xxx //console 登陆用户名密码设置 Router(config)#interface FastEthernet0/0                  //WAN接口 Router(config-if)#ip address 219.239.xxx.xxx 255.255.255.240 Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if)# exit ! Router(config)#interface FastEthernet0/1                         //LAN接口 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config-if)# exit Router(config-if)# no shutdown Router(config)#ip nat inside source list 101 interface FastEthernet0/0 overload   //配置NAT，内容为192.168.1.0/24到192.168.2.0/24的访问不进行地址翻译,到其他网络的访问都翻译成FastEthernet0/0接口的IP地址 Router(config)#ip route 0.0.0.0 0.0.0.0 219.239.xxx.xxx            //配置静态路由! Router(config)#ip dhcp exculded-address 192.168.1.1   //LAN接口DHCP Router(config)#ip dhcp pool lan-pool Router(config)#network 192.168.1.0 255.255.255.0 Router(config)#dns-server 202.106.x.x     // DNS Router(config)#default-router 192.168.1.1 Router(config)#exit ! Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   //定义从192.168.1.0/24-192.168.2.0/24 VPN感兴趣流 Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 //定义从192.168.1.0/24-192.168.3.0/24 VPN感兴趣流 Router(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255   Router(config)#access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255   Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any //阻止VPN数据流通过NAT，定义NAT规则访问列表，注意先后顺序 ! Router(config)#crypto isakmp policy 1                        //定义IKE策略  Router(config)#encr 3des                                   //定义3des加密算法  Router(config)#hash                                       //定义md5散列算法  Router(config)#authentication pre-share                    //定义为预共享密钥认证方式  Router(config)#group 2                                //定义Diffie-Hellman标识符 Router(config)#crypto isakmp key abc123 address 0.0.0.0 0.0.0.0            //配置预共享密钥为abc123（可以为其他），vpn对等端为任意IP（因为InRouer端通常为动态IP） Router(config)#crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  //创建变换集 esp-3des esp-md5-hmac，其中“ESP-3DES-MD5”为变换集名称 ! Router(config)#crypto dynamic-map DYNMAP 100       //创建动态保密图DYNMAP 100 Router(config)#set transform-set ESP-3DES-MD5     //使用上面定义的变换集ESP-3DES-MD5 Router(config)# match address 100         //援引访问列表确定受保护的流量 ! ! Router(config)#crypto map OUTSIDE_MAP 10000 ipsec-isakmp dynamic DYNMAP    //将动态保密图集加入到正规的图集中，其中“OUTSIDE_MAP”为正规图集名称 ! Router(config-if)#interface FastEthernet0/0                  //WAN接口 Router(config-if)#crypto map OUTSIDE_MAP  InRouter900相关配置 1. LAN设置 Web方式登录IR900路由器，点击“网络”=>“VLAN端口”菜单，如下图： 设置IR900 LAN端口IP地址，出厂默认IP为192.168.2.1，需将其设置为IPSec VPN本地保护子网网段内。 请根据具体情况修改参数，配置完成后点击应用。 2. IPSec VPN基本参数设置 1、安装向导-新建IPSec隧道 接口名称： cellular  1          // 路由器默认WAN接口，若为有线则改为相应有线接口； 对端地址： 203.86.63.xxx      // Cisco WAN 端口IP地址 协商模式： 野蛮模式 本地子网： 192.168.2.0 255.255.255.0 对端子网： 192.168.1.0 255.255.255.0 第一阶段策略： IKE策略： 3DES-MD5-DH2    //与Cisco协商第一阶段一致； IKE生命周期： 86400         //默认 本地、对端标示： IP地址      //默认 秘钥： abc123                //与crypto isakmp key abc123一致 第二阶段参数： IPSec IKE策略： 3DES-MD5-96 //与Cisco第二阶段一致 IPSec 生命周期： 3600 2、ICMP探测机制  VPN-IPSec配置 ICMP探测服务器 ： 192.168.1.1  // Cisco LAN 地址 ICMP探测本地地址： 192.168.2.1  // 本地LAN地址