思科认证之动态IP地址实现VPN关键命令
$ I/ H; V- e1 O) a动态IP地址实现VPN关键命令
3 j$ S. ?( a8 W! g全面讲述动态IP地址实现VPN关键命令,现在家家户户都有了自己的电脑,了解动态IP地址实现VPN设置,动态IP地址实现VPN设置,VPN设置会更方便的让你体会到互联网的精彩世界。
; c, J+ o5 v/ ]+ c利用Internet出口线路建立动态IP地址实现VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的VPN,需要至少一端使用静态的IP地址。当前很多公司都通过ADSL方式上网,如果要求电信提供静态地址,费用将会大大增加(如深圳512K固定IP的ADSL月租是RMB5000)。
0 d) p$ u R/ M! Y5 ^* M现在CiscoIOS12.3(4)T中新增了根据DNS名称来建立VPNpeer的命令,借助希网(3322.org)、88ip等动态域名解释系统的配合,可以在VPN两端都使用动态地址的ADSL线路,节省大笔费用。; z: h( W& a1 ^, H- R( j
动态IP地址实现VPN关键命令:! Y7 m, j+ `6 z
setpeer{host-name[dynamic]|ip-address}
8 h/ `( _! U' @动态IP地址实现VPN说明:
( S7 @# a+ i+ y) bhost-name指定IPSecpeer的DNS主机名称,如:myhost.example.com。$ ?# M; l! U5 O, b; P9 a
dynamic(可选参数)指定IPSecpeer的主机名在需要建立IPSec通道的时候才通过DNS服务器解释为IP地址。
( _' B- o3 B$ Eip-address直接给出IPSecpeer的IP地址(传统的配置方式)。
' v- C9 Q: Y; m. e; b1 t0 r! T9 x实际环境中局域网内应在一台机器上运行动态域名解释客户端程序,以将主机名nbo.3322.org注册到服务器,注册地址是路由器的外网端口地址。6 @ p" p& p# W! U
动态IP地址实现VPN配置:/ ?% T# N5 f2 U
VPN-1(省略了部分无关配置):
" [! w+ [- { p2 `$ O6 H/ ?version12.3) U, p2 b6 f4 V/ [( }6 j/ y
!
4 y; J+ S" Z' w* n8 T9 S; \, Z( X& `! Ahostnamevpn-10 I$ H2 u1 ?" e0 w
!
: f3 Y& S! C: `; k2 _0 j! q8 m! }aaanew-model$ q9 O7 g8 p8 O
! J8 ~, z% A' m, ^, v3 @
aaaauthenticationloginauthengroupradiuslocal6 Q2 s7 T7 B0 t0 r) r$ d
aaaauthorizationnetworkauthorlocal
0 Z6 v# x5 H, Taaasession-idcommon
# C0 M+ j( h7 `# z+ ]" y# M' `ipsubnet-zero+ Q: ?6 r8 B# S
!
1 e* O1 o2 e% g! q. yipcef0 V* [/ W. G; u! i, K# J6 a, ?/ h
ipname-server202.96.134.1333 E( a" X0 R% F- R' ^
!
4 b' c6 d8 E4 [1 f2 pcryptoisakmppolicy10- m0 p) ~' J7 U& u: i3 G$ \
authenticationpre-share8 A3 A. N: s+ q c! Q0 n
group2
) J' I4 j, ]& V# t1 jcryptoisakmpkeyciscoaddress0.0.0.00.0.0.01 o: J- |: g, p' l
!+ V4 E* w3 K5 Z) l
: W- S' ]! y8 }) J6 J. o' o) U
# i G* y( A! T- Q
cryptoipsectransform-sets2sesp-desesp-sha-hmac0 F3 ]8 f. h# `7 u/ T; R
!
: z- h* j7 y, ~& {7 u' E$ ]# M2 N4 | @+ }cryptodynamic-mapdymap1
# c9 n5 x [+ h& n$ |settransform-sets2s3 F, U8 s3 y; ]7 u% P/ V) i$ t, I
matchaddress1106 S+ d/ Y1 D, R& {2 z7 H' V$ h) R
!
" Q4 N8 g, u- v' b" o! c: mcryptomapmymap1ipsec-isakmpdynamicdymap
' j2 r" A: H7 ^; ]% }!0 U. F- H6 T: |
interfaceFastEthernet0/0
+ P% I' a6 {2 g- TdescriptionVPN$ F s, G0 a) }( [
ipaddress202.11.22.11255.255.255.2489 d; p6 b7 g+ p; O3 {/ X% S1 B
ipnatoutside
8 z% Z4 {. [. ]! Icryptomapmymap
% o9 E n0 F$ y!0 R4 F* O# ]! ^! W' b
interfaceFastEthernet0/1
% q2 t" R. C# y* [# @. q2 v5 odescriptionINSIDE_GATEWAY
+ H" {8 m; w& A! Nipaddress172.16.10.110255.255.0.0! P/ X: F/ S( s1 V; V3 N
ipnatinside
$ q1 F" v4 r2 t) G!# l% \' |4 x0 G& x7 q
ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload5 A/ P2 D5 f/ C1 u P. G
ipclassless2 `/ j" p6 d0 r" C0 Q2 W- G
iproute0.0.0.00.0.0.0FastEthernet0/0
8 B+ G3 @" [5 w! tnoiphttpserver
* n3 O0 i* d* l& N/ x, \ b) }* ~0 |!) G7 [3 G% A X# c' M
access-list110permitip172.16.0.00.0.255.255172.30.1.00.0.0.255 n3 T) g1 D7 O+ l
access-list120denyip172.16.0.00.0.255.255172.30.1.00.0.0.2551 W7 _4 g: `' i: I, \- e/ K$ y
access-list120permitip172.16.0.00.0.255.255any
; Q7 z' r: @9 B7 Z7 Zroute-mapnonatpermit10
& L% H' e( R% y' hmatchipaddress120
4 @; r% O: }0 y" Q8 Z!
# h2 e U+ m" ^' L$ Rend( }9 w1 [+ ?! m' k1 v7 o J
动态IP地址实现VPNVPN-2(省略了部分无关配置):
: e$ d5 n2 M* c& K, `% H0 J% dversion12.3
/ I3 C6 k/ O# P9 L4 R!' j: c3 ]$ k1 s1 T1 |# K( u8 w9 y
hostnamevpn-2
- X3 i' g- W, I8 |( d!
$ w, `/ ^% d+ s/ N) J0 Musernamemizepassword0http://mize.netbuddy.org2 [! V- Y2 K: h% @
noaaanew-model# r4 P, m% @* V/ _, r
ipsubnet-zero6 Q. X( C7 L E# U, c
!7 h3 b& j1 c9 k8 O, a% J
ipcef8 A; d# f& ^' E
ipname-server202.96.134.133
7 Z8 \6 n- `7 D5 r6 [!
, h3 E, H! u& Q+ fcryptoisakmppolicy1
. x3 {, Z9 C8 \9 Lauthenticationpre-share) X+ p4 n% A F' y$ B$ D
group28 B/ @4 L4 M& X2 v, `' f
cryptoisakmpkeyciscohostnamenbo.3322.org
% U) y% ~. U8 |" k!
' A# y, P& n3 T# Jcryptoipsectransform-sets2sesp-desesp-sha-hmac
7 |; P9 c# E1 {6 Y4 P2 ]. L!' L% D1 W5 m+ P& f
cryptomapmymap10ipsec-isakmp
/ n4 E4 i2 T8 L0 L7 Dsetpeernbo.3322.orgdynamic
6 ~) v# r, [8 I2 Esettransform-sets2s$ n0 W/ K5 q. M: M% K7 H1 _
matchaddress110/ r% Q6 u, F8 o0 k2 q
!- i( w, `) ?2 @" Q# F
: b f7 Q) [0 T7 S/ B) p3 g$ G
% w, y, _( g: ?
interfaceFastEthernet0/0+ X! T/ {: n+ a1 ^+ e
ipaddress202.11.22.43255.255.255.248
9 a+ w1 T8 y0 r& g+ f! Cipnatoutside
i/ r1 Q; s Q9 U# e8 s& d9 A+ `cryptomapmymap
+ @( ]8 R3 N' P) [& m# k5 z!
! H: e$ s: T4 ]interfaceFastEthernet0/1
6 c1 C& B+ b+ m1 ?ipaddress172.30.1.1255.255.255.0+ g- t/ H$ e) i% K
ipnatinside# A) P8 b0 Y2 A5 `5 E4 ^* t
!
, p8 J7 l, u1 fipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload
7 H O7 D/ D2 w9 L- U. n* F3 aipclassless
$ l2 s. I! b# a2 T( v- biproute0.0.0.00.0.0.0FastEthernet0/0/ T" _- D6 m, @& E. {& ?
!4 H& D: d8 Z3 ~! Z& q9 X
access-list110permitip172.30.1.00.0.0.255172.16.0.00.0.255.255( k. B1 X/ P6 _6 t/ E4 s+ I
access-list120denyip172.30.1.00.0.0.255172.16.0.00.0.255.255
3 A- _# W1 m8 d$ b& v; |access-list120permitip172.30.1.00.0.0.255any1 z' [% u; |1 ^- u6 S% W: D3 M
route-mapnonatpermit10
* i+ A; n: G5 B! H9 B2 c1 Qmatchipaddress120" @/ ^' Y! W( A
!* a/ M8 S3 u+ c) _6 _. b6 w) P
end" b( k& ]" l: h! g
动态IP地址实现VPN相关调试命令:
$ q5 Z- d& o+ _/ w" Y6 ishowcryisasa; @/ k8 P5 J4 p' y# `$ `
showcryipsecsa |
发表于 2012-8-3 20:03:30
