|
1、網(wǎng)絡(luò)拓?fù)?br />
在思科路由器與ORB305之間建立一個(gè)安全隧道�,對(duì)客戶路由器端設(shè)備子網(wǎng),與思科路由器端服務(wù)器子網(wǎng)之間的數(shù)據(jù)流進(jìn)行安全保護(hù)��,組網(wǎng)拓?fù)鋱D如圖所示��。
2�、思科路由器端配置指導(dǎo)
(此處以多數(shù)客戶使用專線上網(wǎng)形式為例)
Cisco(AR1)配置配置1.AAA配置aaa new-model//啟用AAA
aaa authentication ppp default local//定義默認(rèn)的認(rèn)證列表default,其對(duì)PPP認(rèn)證為本地認(rèn)證
2.VPDN配置vpdn enable//啟用vpdn
vpdn-group 1//新建一個(gè)VPDN組
accept-dialin//接收撥號(hào)進(jìn)來的鏈接
protocol l2tp//定義協(xié)議為L(zhǎng)2TP�,可選的還有PPTP
virtual-template 1//使用虛模板接口1
no l2tp tunnel authentication//注意我們是基于access模式的vpdn�����,所以不需要對(duì)隧道進(jìn)行認(rèn)證,也就是說每一個(gè)用戶都是一個(gè)LAC
username test1 password 0 123456//定義一個(gè)本地用戶
3.IPSec配置crypto isakmp policy 10//定義isakmp策略,注意路由器會(huì)按序號(hào)匹配策略所定義的參數(shù)��,先匹配的先采用����,如果一個(gè)都沒有匹配到,則ipsec第一階段協(xié)商失敗
encr 3des//加密方式
hash md5//哈希算法
authentication pre-share//驗(yàn)證方式預(yù)共享密鑰
group 2//使用DH組2來協(xié)商第一階段
sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//這里定義預(yù)共享密鑰�,所有地址都使用這個(gè)密鑰,路由器會(huì)尋找一個(gè)地址最匹配的預(yù)共享密鑰��,如果還有更精確的地址匹配�,則采用其定義的預(yù)共享密鑰
crypto ipsec transform-set myset esp-3des esp-md5-hmac//這里定義變換集,IPSEC階段2將使用其定義的參數(shù)�,創(chuàng)建SA
mode transport//定義模式為傳輸模式
crypto dynamic-map mydynamic 10//定義動(dòng)態(tài)映射表mydynamic
set transform-set myset//此映射圖引用了前面定義的轉(zhuǎn)換集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定義映射表mymap
4.配置接口地址:
interface GigabitEthernet0/1
ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上應(yīng)用此映射圖
5.Virtual-Template配置:interface Virtual-Template1 ip unnumbered GigabitEthernet0/1//借用物理接口
peer default ip address pool mypool/指定客戶端地址池為DHCP地址池
ppp authentication pap chap ms-chap ms-chap-v2//配置驗(yàn)證方式
ip local pool mypool 192.168.10.2 192.168.10.5//定義地址池
6.配置內(nèi)網(wǎng)接口:
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0 ip nat inside
7.配置nat:access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流ip nat inside source list 11 interface GigabitEthernet0/1 overload
3、ORB305路由器端配置指導(dǎo)
將SIM卡插入路由器卡槽
給設(shè)備上電�����,登入路由器web頁面(默認(rèn)為192.168.2.1)
進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí)���,保存配置
對(duì)應(yīng)SIM卡撥號(hào)成功����,當(dāng)前鏈路變?yōu)榫G色
進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器(IPsec VPN客戶端)配置保存并應(yīng)用,進(jìn)入狀
態(tài)→VPN頁面看到IPsec VPN狀態(tài)為已連接
點(diǎn)擊“網(wǎng)絡(luò)-VPN-L2TP”勾選“啟用”��;遠(yuǎn)端地址填寫思科路由器的公網(wǎng)IP地址�����;用戶名密碼填寫在思科路由器default中添加的用戶名及密碼����;認(rèn)證類型選擇“chap”�����;遠(yuǎn)端子網(wǎng)填思科路由器下設(shè)備的子網(wǎng)地址及掩碼����。保存并應(yīng)用。
等待5分鐘�,在“狀態(tài)-VPN”查看VPN連接狀態(tài)。
|
