二次元同好交流新大陆
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
Spend everyday as my last day!
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
分公司172.16.10.0/24，网络的主机可以通过VPN访问总部服务器10.10.33.0/24，但不能访问Internet
分公司的其它客户端(172.16.0.0/24)可以访问Internet
1、Cisco路由器（IOS为12.4）
2、客户机3台，IP地址，见拓扑图，F0/0连接外网
R1上的配置
Router(config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 100.0.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip add 172.16.10.254 255.255.255.0
R1(config-if)#no sh
//配置默认路由
R1(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
在IPSEC中，IKE被用来自动协商SA和密钥，如果被关闭用crypto isakmp enable启用
R1(config)#crypto isakmp policy 1&&&& //建立IKE协商策略，编号为1
R1(config-isakmp)#encryption 3des&&& //设置加密使用的算法为3DES
R1(config-isakmp)#hash sha&&& //设置密钥认证的算法为sha
R1(config-isakmp)#authentication pre-share&&&& //告诉router要先使用预共享密钥，手工指定
R1(config-isakmp)#group 2&&&
R1(config-isakmp)#lifetime 10000 //声明SA的生存时间为10000，超过后SA将重新协商
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 test address 100.0.0.2
//设置加密密钥为test，要求二端的密码相匹配，和对端地址(总部Router地址)
配置访问控制列表
当一个路由器接收到发往另一个路由器的内部网络报文时，IPSEC被启动，访问列表被用于确定哪些业务 将启动IKE和IPSEC协商
Crypto访问控制列表必须是互为镜像的，如：R1加密了所有流向R2的TCP流量，则R2必须加密流回R1的所有TCP流量
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255
//定义从172.16.10.0网络发往10.10.33.0的报文全部加密
//配置IPSEC传输模式，用于定义VPN隧道的认证类型，完整性与负载加密
R1(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac
R1(cfg-crypto-trans)#mode tunnel //可选
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800 //定义生存周期1800秒
//配置caypt map(加密映射)
R1(config)#crypto map test-map 1 ipsec-isakmp //创建crypto map
//IPSEC-ISAKMP表示采用自动协调，名为test-map,编号1为优先级，越小优先级越高
R1(config-crypto-map)#set peer 100.0.0.2 //设定crypto map所对应的VPN链路对端IP
R1(config-crypto-map)#set transform-set vpn-set //指定crypto map所使用传输模式名
R1(config-crypto-map)#match address 100 //指定此crypto map使用的访问控制列表
R1(config-crypto-map)#exit
//将映射应用到对应的接口上，VPN就可生效了
R1(config)#int f0/0
R1(config-if)#crypto map test-map
R1(config)#access-list 1 deny 172.16.10.0 0.0.0.255 //研发部不能访问Internet
R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255 //其它部门可以访问Internet
R1(config)#ip nat inside source list 1 interface f0/0 overload //在F0/0上启用PAT
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f0/1
R1(config-if)#ip nat inside
R2上的配置(总部上路由器设置)
R2(config)#int f0/0
R2(config-if)#ip add 100.0.0.2 255.255.255.0
R2(config-if)#no sh
R2(config)#int f0/1
R2(config-if)#ip add 10.10.33.254 255.255.255.0
R2(config-if)#no sh
R2(config-if)#ip route 0.0.0.0 0.0.0.0 100.0.0.1
//IPSEC VPN的配置，含义与R1基本相同
R2(config)#crypto isakmp policy 1 //建立IKE协商策略，编号为1
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash sha //设置密钥认证的算法为sha
R2(config-isakmp)#authentication pre-share //告诉router要先使用预共享密钥，手工指定
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 10000
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 0 test address 100.0.0.1
//设置共享密钥为test，要求二端的密码相匹配，和对端地址(总部Router地址)
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
//定义从10.10.33.0网络发往172.16.10.0的报文全部加密
R2(config)#crypto ipsec transform-set vpn-set esp-des ah-sha-hmac //加密算法二边要匹配
R2(cfg-crypto-trans)#mode tunnel
R2(cfg-crypto-trans)#exit
R2(config)#crypto ipsec security-association lifetime seconds 1800
R2(config)#crypto map test-map 1 ipsec-isakmp
//IPSEC-ISAKMP表示采用自动协调，名为test-map,编号1为优先级，越小优先级越高
R2(config-crypto-map)#set peer 100.0.0.1 //设定crypto map所对应的VPN链路对端IP
R2(config-crypto-map)#set transform-set vpn-set //指定crypto map所使用传输模式名
R2(config-crypto-map)#match address 100 //指定此crypto map使用的访问控制列表
R2(config-crypto-map)#exit
应用到接口，生效
R2(config-crypto-map)#int f0/0
R2(config-if)#crypto map test-map
相关验证结果的查看命令
显示ISAKMP协商策略的结果
R2#sh crypto isakmp policy
查看管理连接SA的状态
R2#sh crypto isakmp sa
显示IPSEC变换集
R2#sh crypto ipsec transform-set
显示数据数据连接SA的细节信息
R2#sh crypto ipsec sa
显示Crypto Map的信息
R2#sh crypto map
==================================================================================
上面内容转自新浪博文：
按上面的配置好后，发现用分公司172.16.10.0/24可以ping通10.10.33.0/24，但是从抓包来看，流量并未使用ipsec vpn，而是直接传输的，ipsec vpn没有生效。通过抓包发现，采用上面的配置时，若使用172.16.10.0/24 ping 10.10.33.0/24，源地址是100.0.0.1，也就是路由器的外部全局地址，但是ipsec的隧道兴趣流规则定义是对于源地址为172.16.10.0 0.0.0.255目标地址为 10.10.33.0 0.0.0.255的流量才使用，于是我认为应该在R1添加一句access-list 100 permit ip&100.0.0.0 0.0.0.255 10.10.33.0 0.0.0.255让源地址为100.0.0.1的流量也是兴趣流。添加后再ping时，发现ping不通10.10.33.0/24了，于是抓包，从wireshark里面看有quick mode的网络包，说明流量已经是走ipsec vpn了，但是由于某些原因未能通讯上，此时再看R2的CONSOLE，发现有“Processing of Quick mode failed”消息提示。通过检查R2的配置，发现兴趣流也没有定义是源地址为100.0.0.2，目上标地址是172.16.10.0的情况，于是我觉得可能是ipsec vpn协商失败导致的，因为过来的是ipsec流量，但是返回的数据却不是，因而失败。所以我再在R2上添加了一条ACL：access-list 100 permit ip&10.10.33.0 0.0.0.255 100.0.0.0 0.0.0.255，后来再ping就通了，从网络包看也是使用esp封装的。总结：感兴趣流量的源地址和目标地址应该是peer两端的地址，而不是内网的地址
阅读(15772)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
在LOFTER的更多文章
loftPermalink:'',
id:'fks_',
blogTitle:'Cisco路由器实现IPSEC VPN配置（站点到站点）',
blogAbstract:'\r\n\r\n&\r\n'
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}凌激冰 的BLOG
用户名：凌激冰
文章数：199
评论数：2082
访问量：2640791
注册日期：
阅读量：5863
阅读量：12276
阅读量：312408
阅读量：1027172
51CTO推荐博文
大型企业网络配置系列课程详解（九）
---用Cisco路由器和预共享密钥建立多条 IPSec VPN
VPN技术介绍：
&&&&& 所谓虚拟专用网（Virtual Private Network, VPN）就是建立在公网上的，由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理连接，而是通过ISP提供的公共网络来实现通信的，其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信。
&&&&& 由于Internet本质上是一个开放的网络，没有任何的安全措施可言。专线的连接可以实现不同地区之间的互访，但需要支付高额的费用，维护也相当的困难。随着Internet应用的扩展，很多要求安全和保密的业务需要通过廉价的Internet实现，这一需求促进了VPN技术的发展。
&&&&& 广泛地讲，VPN体系结构可以被分为两种常见的情况：站点到站点的VPN（企业总部与各个分部之间的互联）和远程访问VPN（远程用户与公司总部之间的互联）。VPN技术实现安全互联有多种方式，如MPLS VPN、SSL VPN等，但IPSec VPN技术是现在企业用的最多的接入方式，本实验就是通过使用Cisco路由器和预共享密钥建立多条IPSec VPN实现站点到站点之间的访问。
实验背景：
&&&&& 某一外资企业在中国有三个分公司，分别坐落于上海、北京和深圳。由于企业信息的安全需求，要求与分公司之间建立不同的安全通道。其中，总部与深圳分部之间互相通信只需要互相验证并保持数据的完整性就可以了；与北京分部之间要求数据加密而且具有一般的验证功能，并能提供数据的完整性验证；由于上海分部在中国充当了总代理的角色，传输的数据都是机密性文件，所以要求和上海分部之间建立严格的验证功能，并能对数据进行加密和完整性验证。（注意：每多一项功能，安全性就会升一级。但是，链路的开销必然会增大。如何将各个功能配置使用，需要根据企业需求和网络带宽而定）
实验目的：
通过IPSec VPN技术实现公司总部和各个分部之间不同的安全通信，总部与分部之间通过两台路由互联并运行OSPF多区域路由协议模拟Internet，总部和分部并不知道模拟Internet的具体连接情况，需要配置默认路由连接到模拟公网之上。
实验环境：
使用DynamipsGUI 2.8模拟器，路由器IOS使用c3640-jk9o3s-mz.122-26.bin（带有VPN功能）。DynamipsGUI 2.8的具体使用可参考网络的一些资料。
实验网络拓扑：
650) this.width=650;" border="0" alt="" src="/attachment/270812.png" />
试验步骤：
一、 配置模拟公网的具体网络参数（R2和R3之间的级联。不是重点，只做简单介绍）
1、 首先，在R2上配置各个端口的IP地址，并启用OSPF协议，进程号为200，将直连的网络宣告到对应的区域里（注意：是两个区域，R2和R3之间的区域为骨干区域area 0，端口Ethernet 0/1所对应的区域为area 1，具体可参考网络拓扑图）
2、 其次，在R3上配置各个端口的IP地址，并启用OSPF协议，进程号为300，将直连的网络宣告到对应的区域里（注意：是四个区域，R2与R3之间的区域为骨干区域，其它区域为area 2 ，area 3和area 4。具体可参考网络拓扑图）
3、 公网模拟好之后，使用show ip route命令在R2或者R3上查看是否学习到不同区域之间的路由条目，不同区域之间的路由条目表示为&O IA *****&
二、 配置总部和分部的具体网络参数（ R1、R4、R5和R6的配置，不是重点，只做简单介绍）
1、 配置公司总部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/0。
2、 配置深圳分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。
3、 配置北京分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。
4、 配置上海分部各个端口的具体网络参数，并启用一条默认路由，下一跳地址由于不知道，配置为连接模拟公网的端口Ethernet 0/1。
三、 配置总部的三条IPSec VPN，分别指向不同的分部。（重点讲解）
*******************R1的具体配置*******************
1、 配置IKE协商
1.1、 启用IKE（IKE-Internet Key Exchange是基于Internet安全联盟和密钥管理协议（ISAKAMP）定义的框架。IPSec 传送认证或加密的数据之前，必须就协议、加密算法和使用的密钥进行协商。而IKE提供了这个功能，ISAKAMP定义了两个通信对等体如何能够通过一系列的过程来保护他们之间的通信信道。然而，它并没有规定传送的内容，只是充当了交通工具的角色。）
默认条件下，IKE在Cisco ISO软件中是激活的。如果被人工关闭，则需要再次激活它。
1.2、 建立IKE协商策略并配置IKE协商参数（在启用IKE后可以构造IKE策略，根据每个VPN连接的安全系数不同，构造多个策略。不同的IKE策略实现不同的安全连接方式）
定义公司总部与分部之间的IKE的编号为policy (取值范围为1~10000，策略编号越低，其优先级越高),以policy 2为例进行讲解：
encryption 3des命令被用来设置加密所需要的算法，（DES&Data Encryption Standard数据加密标准，是使用最广泛的共享密钥加密算法。它使用对称式加密算法，加密和解密使用相同的密钥值，共56位，而3DES是DES的扩展，共168位。由于算法的复杂性，因此需要的网络宽带和内存）
authertication pre-share命令告诉路由器要使用预先共享的密钥（对等体认证方法除了预共享密钥还有RSA加密的nonces，RSA签名，默认为RSA签名）
hash sha命令被用来设置密钥认证所用的算法，有MD5和SHA-1两种，默认为SHA-1。（Hash散列算法是一种基于密钥（对称密钥或公钥）的加密不同的数据转换类型。其中MD5是使用最广泛的报文摘要算法，可产生128位散列值的散列算法。SHA-1是安全散列算法，可产生一个160位的散列值。SHA-1算法的缺点是速度被MD5慢，但是SHA的报文摘要更长，具有更高的安全性）
group 2 为密钥交换方式，一般有三种模式，分部为group 1，group 2，group 5，其中，group 1的密钥交换最简单，而group 5的密钥交换方式最复杂。（注意：同等实体两端策略的密钥交换方式必须一样，就本实验而言，总部和深圳分部使用group 1，总部和北京分部使用group 2，总部和上海分部使用group 5）
Lifetime 86400 声明了SA的生存时间，默认为86400。在超过生存时间后，SA将被重新协商。（SA&Secuity Associations安全联盟，定义了各种类型的安全措施，这些措施的内容包含了IP包加密解密和认证的相关信息）
1.3、 设置IPSec对等体的验证方法（由于SA是单向的，因此，需要设置预先共享的密码和对端的IP地址或主机名。也就是说有两种验证方法，一种是通过对端主机名进行验证；另一种是通过对端IP地址进行验证。语法为Router（config）#crypto isakmp key keystring address &hostname& peer-address（peer-hostname）注意：VPN链路两端的密码必须匹配。）
2、配置IPSec相关参数
2.1、 指定Crypto map加密用的访问列表（注意：IPSec只用于加密的访问类别，而没有定义的访问列表就等于没有IPSec的验证，直接以明文的方式进行传送。这个不同于普通的访问控制列表那样&运行&和&拒绝&流量）Crypto访问列表必须是互为镜像的。比如：总部连接外网的路由器加密了所有流向深圳分部连接外网的路由器的IP流量，则分部连接外网的路由器必须加密流回总部连接外网的路由器的所有IP流量。其实，这个类似于windows 系统中的IP安全策略（开始&运行&mmc&添加/删除管理单元&IP安全策略））
考虑到试验的局限性，这里只定义了给IP包和ICMP包（ping包）进行数据的加密，其它数据包正常通过。
2.2、 配置IPSec工作模式并配置交换集（定义总部和深圳分部之间路由器的IPSec工作模式为传输模式（transport，默认为tunnel）并定义交换集名为aaa ，并使用了ah-md5-hmac的验证参数。定义总部和北京分部之间路由器的工作模式为隧道模式（tunnel）并定义交换集名为bbb，并使用了esp-3des 和esp-sha-hmac。定义总部和上海分部之间路由器的工作模式为隧道模式（trunel）并定义交换集名为ccc，并使用了esp-3des和ah-sha-hmac）
工作模式可选择的参数有：（每种参数类型中只可以选择一种方式，但三者可以同时使用，可以看出总部和上海分部之间的IPSec工作模式在三者之间是最安全的）
AH验证参数：ah-md5-hmac、ah-sha-hmac
ESP加密参数：esp-des、esp-3des、esp-null
ESP验证参数：esp-md5-hma、esp-sha-hmac
AH: IPSec认证头提供数据完整性和数据源认证，但是不提供保密服务。
ESP: 带认证的封装安全负荷提供数据完整性和数据源认证，同时也提供了保密服务。但是，其数据源认证没有AH功能强。
IPSec的工作模式：
传输模式---在传输模式中，IPSec的AH头或ESP头插入原来的IP头之后，而整个过程当中，原来的IP头并没有进行认证和加密。也就是说，源和目的IP以及所有的IP包头域都是不加密发送的。
隧道模式---在隧道模式中，IPSec的AH头或ESP头插入原来的IP头之前，在整个过程中，加密和认证之后会从新生产一个新的IP头加到AH头或ESP头之前。也就是说，真正的IP源地址和目的地址都可以隐藏为因特网发送的普通数据。因此隧道模式比传输模式具有更高的安全性。同时，隧道模式加密的复杂性也占有了一定的网络带宽。
2.3、 配置全局IPSec安全关联生命期（全局的和指定接口的SA生命期都可以被配置，SA生命期确定在它们重新协商前IPSec SA保持有效的时间，在加密映射条目内,全局生命期将被覆盖，当一个SA快要过期时,会协商一个新的,而不会打断数据流）
3、配置加密映射并安全关联（现在已经构造好了VPN隧道需要的信息，需要通过配置cryto map将它们整合在一起然后运用到指定的接口上）
创建三个Crypto map，全部命名为map-all，并定义不同的优先级。
以第一条crypto map为例进行讲解：
Crypto map map-all 11 ipsec-isakmp：创建crypto map，并命名为map-all，优先级为11（优先级范围为1~65535，值越小，优先级越高），并将IPSec和ISAKMP关联起来。下面有个警告，意思是这个新的crypto map 在没有配置一个对等体或着一个有效的访问控制列表之前，始终保持关闭状态。
Match address 112：匹配前面定义的加密访问控制列表，编号必须相同。
Set peer 160.160.160.2：指定所对应VPN链路对端的IP地址，IP地址应该同前面在IKE中配置的对端IP地址相同。
Set transform-set aaa：指定了此Crypto Map所使用的交换集名称，这个名称应该与IPSec中配置的交换集名称相同。
Set pfs group1：关联共享密钥的交换方式，应该与配置IKE协商阶段使用的交换方式相同。
4、应用Crypto Map到端口
注意：在端口上只能应用一种crypto map，所以要将三个crypto map综合到一起，并配置同样的名称map-all。
****************R4的具体配置*******************
1、配置IKE协商（建立IKE协商策略，并配置IKE协商参数，应与R1上配置 对应的策略相同）
2、 设置IPSec对等体的验证方法（预共享密钥为123456，对等实体地址为100.100.100.1）
3、 设置IPSec的相关参数（crypto map加密用的访问列表）
4、 配置IPSec工作模式为隧道模式，并配置交换集名称为aa ，内容为ah-md5-hmac
5、配置全局IPSec安全关联生命期为86400（对等体两端必须一样）
6、 配置加密映射并安全关联（定义crpto map的名称为map-1 优先级为20）
7、 应用Crypto map到对应的端口上
****************R5的具体配置********************
***************R6的具体配置*****************
四、 设置PC1、PC2、PC3、PC4的IP地址、子网掩码以及网关。（注意写法：&ip ip-address ip-gateway /子网掩码&
在PC1上（总部）分别ping分部主机的IP地址，可以看出隧道已建立成功。
在PC4上（上海分部）ping公网的IP地址，可以看出是ping不通的，因为公网对于VPN来说只是一条透明的链路而已。
五、 IPSec VPN配置的检查（以R1和R4为例进行说明）
1、 使用show crypto isakmp policy命令可以查看所配置的IKE策略（通过两个路由器上IKE策略的对比进行排错）
2、 使用show crypto isakmp key 可以查看VPN两端的共享实体的IP地址或者主机名，预共享密钥。
3、 使用show crypto isakmp sa可以查看VPN对等实体两端的IP地址参数，如果协商不成功，是没有这些参数出现的。
4、 使用show crypto ipsec sa查看安全联盟当前使用的设置。在ping的过程中，还能看到数据包的增加过程。
5、 使用show crypto ipsec security-association-lifetime查看全局IPSec安全关联生命周期。（注意：对等实体两端是一样的）
6、 使用show crypto ipsec transform-set可以查看IPSec的工作模式以及变换集的配置。
7、 使用show crypto map 显示所有配置在路由器上的Crypto Map，便于更详细的查看。
六、 实验总结：
1、 配置多条VPN隧道的时候，注意在端口只能应用一个Crypto Map，如果有多条VPN，应该将所有的crypto map定义相同的名称。
2、 配置Crypto Map时候所使用的密钥交换方式应该与IKE阶段所配置的密钥交换方式相同。
3、 配置交换集的时候，每种类型只能选择一种参数。
4、 定义Crypto加密访问列表时候，注意应用的先后次序，记得将特殊的放到前面，然后再将一般的放到后面。最后加上access-list access-list-number deny ip any any，拒绝其它没有数据通过。
5、 检查Crypto加密访问列表出错，应该重新定义访问列表，删除或者添加某一条都不会生效的。
6、 检查错误的时候，如果内容较多，也可以使用show running将两个结果进行对比排错。
7、 使用DynamipsGUI 2.8的时候，如果路由器启动起来，最好让路由器一直处于当前会话状态，千万别退出会话，这样会消耗更多内存造成对实验的干扰。可以在全局模式下使用命令line console 0，然后进去使用exec-time 0 0就可以了。
8、 在配置VPN IPSec之前最后让全网都互通，可以使用ping命令，让各自路由器里都学习到其它路由器的路由条目，以免造成对实验的干扰。
9、 配置IKE协商参数应该与对应的交换集保持一直。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
21:29:43 15:06:19 16:09:02 22:13:01 08:54:35 &&1&
&&页数 ( 1/7 ) &以下试题来自：
填空题以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释(6)、(7)处的命令。
Router(config)#crypto isakmp policy 10
(定义策略为10)
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#exit
Router(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 (配置预共享密钥为cisco123，对等端为所有IP) 参考答案使用预共享的密钥认证
为您推荐的考试题库
你可能感兴趣的试题
1.填空题 参考答案Tmnk2.填空题 参考答案隧道技术，加解密技术，密钥管理技术，使用者与设备身份认证技术等。3.填空题 参考答案摘要使用MD5算法4.填空题 参考答案放在区域B5.填空题 参考答案封装PPP协议
热门相关试卷
最新相关试卷cisco设备做DMVPN的问题！网络达人指导下！_百度知道
cisco设备做DMVPN的问题！网络达人指导下！
那么我想问下是这样的 我想做总部到n个分支的vpn，所以选择了dmvpn这样一个解决方案，然后分支间也要能访问，有哪些型号能支持呢，这个又是啥意思？望达人指点，就是要买Lisence？据说很多设备都支持？如果是设备的话，是cisco设备都支持dmvpn还是ios的版本支持dmvpn，谢过
提问者采纳
License是针对9系列的，功能是通过购买license实现的，IOS版本要是security，ipservice或者adventerprise,3900这些，型号无所谓，9系列就不行了需要用到路由器，这个系列的路由器没有IOS版本的说法，1900，而且License装进一台设备就绑死了，你得买，都可以的，思科这么做是为了赚钱，而IOS软件一旦下载好可以无数次使用,2900，8系列的路由器换个IOS功能就完全不同了，统一是universal。如果是8系列，不能重复用
提问者评价
嗯 懂了 谢谢！
其他类似问题
8人觉得有用
（可以配置多个VPN客户端冗余）RouterA(config-crypto-map)# set peer 172.2RouterA(config-crypto-map)# set pfs group1 (perfect forward secrecy.2，PFS使得IPSEC第二阶段的密钥是从第一阶段的密钥导出的：1.num区分）RouterA(config)# crypto map mymap 110 ipsec-isakmpRouterA(config-crypto-map)# match address 110RouterA(config-crypto-map)# set peer 172，不过要满足你的要求的话;ah-md5-hmac&#47.3...num) ipsec-isakmp（每个端口只能一个crypto-map....
.、router（config）#crypto map xxx
.30..;hostname
crypto isakmp keepalive 10 periodic(启用DPD检测隧道连通性)IPSec 变量.
&#47。具体的话就是在总部的出口建立多个VPN对端的peer命令大概是这样的，多个VPN对端用seq,在使用PFS之前.. DMVPN 我不太熟悉.;esp-sha-hmac2..255 （两端配置对称）3，使IPSEC的两个阶段的密钥是独立的：router（config）#crypto isakmp enableRouterA(config)# crypto isakmp policy 110 （越小越优先）RouterA(config-isakmp)# encryption desRouterA(config-isakmp)# hash md5RouterA(config-isakmp)# group 1
（加密算法）RouterA(config-isakmp)# authentication pre-shareRouterA(config-isakmp)# lifetime 86400）# crypto isakmp key
address 、access-list
，可以所有分支到总部建立VNP就可以了;1RouterA(config-if)# crypto map mymap这是我的笔记，而且VNP连接以后各分支也可以通信的、router（config）#crypto ipsec transform-set XXX esp-des &#47.，使用PFS..30.255 .。所以采用PFS来提高安全性)RouterA(config-crypto-map)# set transform-set mineRouterA(config-crypto-map)# set security-association lifetime 86400RouterA(config)# interface ethernet0&#47
为您推荐：
其他1条回答
路由器也分ios版本。lisence是对vpn隧道个数会限制，交换机肯定不行，必须版本能支持ipsec的不然做不了。具体型号自己上思科官网搜搜dmvpn思科路由器支持，按你需求买就行
您可能关注的推广
达人的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁