标签: ×××  cisco  ipsec  adsl  config 
    给客户做网络工程,客户分公司的内部网要和总公司的内部网连接,分公司采用ADSL连接到Internet,而总公司采用DDN,为了实现资料的传输保密,客户选用了×××连接,由于分公司是ADSL接入,总公司和分公司都要在相应的路由器配置×××才能够通信;注意,如果分公司采用的DDN,那么直接设置ISP给出的IP地址和封装PPP协议帧就可以和总公司通信了,DDN是一直在线的,它的原理和×××是差不多的,都提供了端到端的连接,对于用户而言,相当提供了一条专用的电路。以下主要针对在分公司的路由器上设置×××和总部公司连接,总公司由于采用DDN,先设置ISP给出的公网IP和封装PPP协议帧,其余的×××设置都和分公司的×××设置都一样。客户的是cisco路由器,所以要在cisco路由器上配置×××,配置cisco的×××我个人认为比较繁锁,不像Windows那样只要简单几部就可以了。
   客户公司的网络拓朴图如下:
分公司和总公司用×××连接 _休闲    分公司路由器配置:
    1.配置IKE策略
    sub-company(config)#crypto isakmp policy 1
    sub-company(config-isakmp)#encry des
    sub-company(config-isakmp)#hash md5
    sub-company(config-isakmp)#authentication pre-share
    sub-company(config-isakmp)#exit
    sub-company(config)#crypto isakmp key 6 cisco address 219.137.174.30 (总公司的IP地址)、(其中的6是要加密的意思,而cisco关键字是要加密的密码)
    2.配置IPSec策略
    sub-company(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac (这里的cisco是给IPSec起的名字)
    sub-company(config)#crypto map ciscomap 1 ipsec-isakmp (这里的ciscomap是设置IPSec的映射名称)
    sub-company(config-crypto-map)#set peer 219.137.174.30 (这是总公司的IP地址)
    sub-company(config-crypto-map)#match address 110
    sub-company(config-crypto-map)#set transform-set cisco (这个名称和设置ipsec的cisco名称一样)
    以上先要设置×××的策略,以下×××的转发策略:
    分公司已经设置了ADSL上网,ADSL的配置请参见我的文章(cisco路由器共享企业网连接ADSL配置实例),同样分公司是采用ADSL modem连接路由器的以太网口,配置是相同的。但请在配置发送用户和密码时,除了配置ppp pap sent 用户名 password 密码,还要加入配置IPSec策略时的crypto map ciscomap命令。
    好,3.定义引发IPsec ×××的数据:
    sub-company(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    sub-company(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 any
    以上的命令是当触发分公司用×××访问总公司的内部网时,不进行ADSL的拨号访问。其中192.168.2.0 255.255.255.0是分公司的内部网IP地址段,而192.168.1.0 255.255.255.0是总公司的内部网IP地址段。
    4.定义NAT的数据和设置路由映射
    sub-company(config)#access-list 111 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    sub-company(config)#access-list 111 permit ip 192.168.2.0 0.0.0.255 any
    sub-company(config)#route-map nonat permit 10
    sub-company(config-route-map)#match ip address 111
    sub-company(config-route-map)#exit
    sub-company(config)#ip nat inside source route-map nonat interface dialer 1 overload
    以上的命令当不进行×××访问时,触发ADSL的拨号访问,从而分公司可以上网了。将路由映射noadsl定义的数据与ip nat inside source route-map noadsl interface dialer 1 overload相对应,即如果内网要上网时其内部的地址将转换为dialer 1的公网地址,不同的内网地址通过不同的端口来识别;如果内网要访问总公司的内部网时,不做地址转换,而是触发IPsec ×××的建立。
    完成上面的配置,总公司和分公司均可以相互访问对方的内部网了,直接打开网上邻居,其余的操作就像在本地局域网访问一样。很多公司都是采用路由器来做×××设置和做×××拨号访问服务器,虽然设置有些繁锁,但是有很好的稳定性。
分公司和总公司用×××连接 _职场_02 分享 |  评论 (0) |  阅读 (101)  |  固定链接 |  发表于 20:06