思科认证之动态IP地址实现VPN关键命令
! P9 {) i9 _$ b3 q3 m6 Q4 o+ Q( u动态IP地址实现VPN关键命令
2 O+ [" O9 W7 K# b# I% e a" V全面讲述动态IP地址实现VPN关键命令,现在家家户户都有了自己的电脑,了解动态IP地址实现VPN设置,动态IP地址实现VPN设置,VPN设置会更方便的让你体会到互联网的精彩世界。
4 e! ~) P7 y% U& P- i4 f, i利用Internet出口线路建立动态IP地址实现VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的VPN,需要至少一端使用静态的IP地址。当前很多公司都通过ADSL方式上网,如果要求电信提供静态地址,费用将会大大增加(如深圳512K固定IP的ADSL月租是RMB5000)。
" r, s; X; M7 C3 J( }1 i( f; {现在CiscoIOS12.3(4)T中新增了根据DNS名称来建立VPNpeer的命令,借助希网(3322.org)、88ip等动态域名解释系统的配合,可以在VPN两端都使用动态地址的ADSL线路,节省大笔费用。. x" X$ v6 \% f& |/ n
动态IP地址实现VPN关键命令:
0 o" M& ~3 f6 T# Y. H$ asetpeer{host-name[dynamic]|ip-address}
* n0 o4 K0 \7 E' t) \+ P& z动态IP地址实现VPN说明:
5 R8 P8 X( Q& R) ^host-name指定IPSecpeer的DNS主机名称,如:myhost.example.com。+ u; _3 V; G; n; H b. G! ]
dynamic(可选参数)指定IPSecpeer的主机名在需要建立IPSec通道的时候才通过DNS服务器解释为IP地址。
/ Z; n0 |- ]. Z! t2 x0 Fip-address直接给出IPSecpeer的IP地址(传统的配置方式)。6 c5 ^! _4 r% o7 r. W+ V4 z/ X
实际环境中局域网内应在一台机器上运行动态域名解释客户端程序,以将主机名nbo.3322.org注册到服务器,注册地址是路由器的外网端口地址。3 i7 I* [( X& _% E3 V
动态IP地址实现VPN配置:
[- W* r5 t7 |; M/ VVPN-1(省略了部分无关配置):: e9 \2 U7 D, R7 b& r: w9 K, c3 w
version12.36 ]* B1 ^5 ^ K) c1 B. r1 @2 }; K
!9 @* I: ~6 }. O- [, t6 A# N# I0 S
hostnamevpn-1
8 |, v4 n3 m$ v# w& D6 E6 x!2 q1 M3 y0 [9 d9 a: b" W
aaanew-model" I1 ]' N# d" c" M8 Y
!9 U- n9 `& m. [; x! ?
aaaauthenticationloginauthengroupradiuslocal
- j x1 @8 i' {. o! faaaauthorizationnetworkauthorlocal
# p1 B: `, D6 H0 m' Faaasession-idcommon
, c5 x/ i7 e1 d7 A& n5 tipsubnet-zero' n7 U& o O+ d% u5 Z0 H( e; l( Z
!
) v: F1 E, @5 P" ^0 H' Wipcef
6 F# M3 l( U3 x2 Vipname-server202.96.134.133
+ p+ ]" K; d! S* Z!
& X7 D# m* N6 V8 ]cryptoisakmppolicy10
2 z- r* ?0 K1 G' G( v" \9 C+ a4 L! \# rauthenticationpre-share" O3 y! u- y w2 ]& U
group2
4 x$ B: O/ Y5 |7 F4 q% Hcryptoisakmpkeyciscoaddress0.0.0.00.0.0.0! x R! N4 d/ ? ^4 S# }$ w9 j
!6 V2 P' n) I) `; P% r
3 N" O3 }' x* L! I4 t! q
' L" p2 I! Q a$ F7 ^0 mcryptoipsectransform-sets2sesp-desesp-sha-hmac2 q7 o2 G. E1 u- `' b4 P; D
!
) o7 E3 }1 o' r; C/ M) scryptodynamic-mapdymap1/ j; Z3 d3 J1 F$ Z6 G
settransform-sets2s
5 \) a1 U' ]/ q+ B; Wmatchaddress110' q: f0 A" _0 ^5 i7 Y# r0 W& x
!
6 ~; i3 _) _1 k9 kcryptomapmymap1ipsec-isakmpdynamicdymap0 ^5 _. X2 l& U1 [
!
- f& k) _( @; [- B2 J; BinterfaceFastEthernet0/0- k1 o- s( ~) x* R$ _' {
descriptionVPN
& g6 e, Y4 j# ^ipaddress202.11.22.11255.255.255.2482 D, J) b* Z4 d7 W1 R6 I' M
ipnatoutside0 l) M) ]$ g0 I5 D
cryptomapmymap b/ c9 a% W6 }1 q1 `! _5 b
!6 u* M3 q8 Z- q( @- `* k; e1 a4 |
interfaceFastEthernet0/19 @& c, S& D( J$ `! I, A j
descriptionINSIDE_GATEWAY
% l G4 q; A% U1 h' |. uipaddress172.16.10.110255.255.0.08 e; Z7 V0 R6 K4 [
ipnatinside) h; a! k/ m& J& f( M9 |, o X
!/ z. E6 m8 @5 X* _' O
ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload
6 [2 n' T" p3 ]ipclassless
" N7 V4 d+ @( N" iiproute0.0.0.00.0.0.0FastEthernet0/09 O7 p' R. J, {2 g0 [! ~, ?
noiphttpserver
. g. ^! t) G& o' x1 p!! u& D; `% b2 f9 n9 o) U1 j
access-list110permitip172.16.0.00.0.255.255172.30.1.00.0.0.255! D; ~% f8 a" H$ z; R& s8 U# q7 @% A
access-list120denyip172.16.0.00.0.255.255172.30.1.00.0.0.255: e: i" u' v5 L- q) E
access-list120permitip172.16.0.00.0.255.255any
: h3 V& j7 k" S2 V% x/ Groute-mapnonatpermit10
, S6 J7 m0 f! B; smatchipaddress120
9 L5 O: e6 u0 t8 U% b!
8 |5 K9 {3 T, aend8 s4 i- f% j5 Q4 |7 x7 @8 s
动态IP地址实现VPNVPN-2(省略了部分无关配置):
2 p( f; }8 D5 q# i: wversion12.3
5 v4 W5 h! ?1 V$ _( C3 V- ?!1 \; i' b/ |) W; K& M
hostnamevpn-2
8 }; l! ~" ^: [: Q; ?!9 H, W# R- P8 O4 m8 o+ M
usernamemizepassword0http://mize.netbuddy.org
" L& R' X9 E" s k# j& p/ G* H, X4 Pnoaaanew-model
; |: b9 T/ R( a: m% tipsubnet-zero" D9 H7 N+ B Z9 C+ P
!9 a% V0 }3 [7 [) @# t
ipcef
$ \7 J; d$ |- @* V1 p' a7 ~ipname-server202.96.134.1331 |, @7 i0 J* I# j6 V
!+ H' \: F6 B6 q- ~
cryptoisakmppolicy1
% ]; _+ g6 ^+ Qauthenticationpre-share
" ^8 Z' s) F8 Z9 Zgroup2
# Q2 u! {) O. A0 Y2 Q9 h0 \cryptoisakmpkeyciscohostnamenbo.3322.org9 _% }& Q, ^) {6 ?6 V# J" s* m" _- d
!
. e8 Y l- D0 t5 a) P$ `/ J, J$ dcryptoipsectransform-sets2sesp-desesp-sha-hmac
) g: i& q" Y. f6 [6 x# S! Z!& I A6 z% g6 n8 f1 O9 M
cryptomapmymap10ipsec-isakmp8 R* p' m: f% l6 u9 M2 a
setpeernbo.3322.orgdynamic
7 p% O: g0 f) v. N7 J/ \& Msettransform-sets2s5 X7 T" i4 e& |- v# D5 \' q; _
matchaddress1106 k* T8 y% ^& F+ E" x8 Q1 Z6 F9 }
!8 q/ J& Z" b* R$ x9 r, d# |
, j% e4 W$ h! O2 s4 a3 L) ?
; g+ C# x6 Y! i5 Y5 U& winterfaceFastEthernet0/0
1 g3 Q' m/ s5 n4 w$ u" K0 U0 xipaddress202.11.22.43255.255.255.248
0 ?2 ~6 P7 \: Q$ x. Mipnatoutside
$ l4 f m+ \# _& H& ]cryptomapmymap
- `! N( D9 \- r1 N!
4 C9 ~4 r4 P. WinterfaceFastEthernet0/1, L+ D4 o4 v5 P9 ?. C$ B# i
ipaddress172.30.1.1255.255.255.0# K& Q, x+ d- m7 G4 S
ipnatinside+ M4 G N) a( }1 r
!
3 D' ]( H4 s3 Q" {* ~' `' nipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload
/ n& @0 t1 y; c/ lipclassless
/ M( }7 d; B) W: y0 }7 oiproute0.0.0.00.0.0.0FastEthernet0/0: h) w0 X5 z* }. c4 E, }
!
% @3 P- P% t! W0 @access-list110permitip172.30.1.00.0.0.255172.16.0.00.0.255.255! \" I5 u, A2 Y$ O1 k
access-list120denyip172.30.1.00.0.0.255172.16.0.00.0.255.255
2 R( k. A- a5 V: i# Waccess-list120permitip172.30.1.00.0.0.255any
, P- {5 i9 }4 W2 A& xroute-mapnonatpermit10
7 ]8 b+ x- b; {' U+ X& c2 h" W6 smatchipaddress120
9 E4 V' z" Y% m& I, U" Y$ B!
" V& x' B: X) U0 X- \6 q* q' p4 Yend: A+ v E" t) w& X! g
动态IP地址实现VPN相关调试命令:
( Y( {' ^( w% F* ushowcryisasa: g; @" X( m1 W" O, b8 v& b, f
showcryipsecsa |
发表于 2012-8-3 20:03:30
