低成本高安全某集团VPN组网案例

dn001 2008-11-23 00:23:59

西安分支机构的路由器命令为Routerxa，具体步骤配置如下。

Routerxa(config)# crypto isakmp enable

Routerxa(config)# crypto isakmp policy 110

Routerxa(config-isakmp)# authentication pre-share

Routerxa(config-isakmp)# encryption des

Routerxa(config-isakmp)# group 1

Routerxa(config-isakmp)# hash md5

Routerxa(config-isakmp)# lifetime 86400

Routerxa(config-isakmp)#exit

Routerxa(config)#rypto isakmp identity address

Routerxa(config)# crypto isakmp key cisco1234 address 172.30.1.2

Routerxa(config)#crypto IPsec transform mine esp-des

Routerxa(config)#crypto map mymap 10 IPsec-isakmp

Routerxa(config-crypto-map)#set peer 172.30.1.2

Routerxa(config-crypto-map)#set transform-set mine

Routerxa(config-crypto-map)#match address 110

Routerxa(config-crypto-map)#exit

Routerxa(config)#access-list 110 permit tcp 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255

Routerxa(config)#interface Ethernet 0/1

Routerxa(config-if)#crypto map mymap

至此，一个3站点VPN的配置完成。

这个实例的难点在于如何确认哪些流量在通过线路时能够启用VPN的通信，它们的关键在于ACL的定义。第11章用大量的篇幅介绍了ACL技术，但ACL中的Permit和Deny两个动作在VPN中发生了变化，不再是允许通过和拒绝通过的概念。

在VPN中，Permit代表该流量需要加密传递，换另外一种说法，就是对该流量使用VPN链路传递；Deny代表该流量不需要加密传递，不对该流量使用VPN链路传递。所以请网络管理员在使用ACL时需要注意此处的定义。

低成本 高安全 某集团VPN组网案例