close
情境圖
(1) 有兩台VPN Router 做為VPN 通道之用 分別為VPN_S1與VPN_S2(IPSEC Site To Site)
(2) VPN_S1與VPN_S2 為一條專線串接網段為220.135.34.0/30
(3.)VPN_S1內部網段規劃為10.1.1.0/24 , VPN_S2內部網段規劃為192.168.1.0/24
(4.)Keynes 採用GNS3.0做LAB
第一階段: 定義ISAKMP策略(以下為VPNS1操作畫面,VPNS2亦須做
出與VPNS1同樣對應,不再贅述)
出與VPNS1同樣對應,不再贅述)
定義認證方式為 pre-share 預先共用金鑰
hash sha : SA(安全關聯)使用安全雜湊演算法 SHA
aes 128 : 加密金鑰方式採用aes 128方式
lifetime 86400 : SA生存設置期以秒計數
crypto isakmp key xxxx address 220.135.34.2 : 設置共用金鑰Key並指定Peer IP
第二階段: 定義IPSEC遂道與參數集(轉換集) (以下為VPNS1操作畫面,
VPNS2亦須做出與VPNS1同樣對應,不再贅述)
VPNS2亦須做出與VPNS1同樣對應,不再贅述)
crypto ipsec tranform wuda esp-aes esp-hmac : 建立名為wuda的策略集,
後方接續 esp-aes,esp-hmac 指定加密演算法
後方接續 esp-aes,esp-hmac 指定加密演算法
accesslist 101 : 建立Petmit 條件限制特定虛擬網段之間可允許網段範圍,亦是
於IPSEC 做為一種保護資料流動作
於IPSEC 做為一種保護資料流動作
VPNS1(10.1.1.0/24) - > VPNS2(192.168.1.0./24)
VPNS2(192.168.1.0./24) -> VPNS2(10.1.1.0/24)
crypto map xxxx 10 ipsec-isakmp : 建立 crypto map 並定義xxx為其名稱
set peer 220.135.34.2 : 設定IPSEC 鄰居
match address 101:設置 如我們上面提到建立acl 條例101
set transform-set wuda : 設置如我們上面提到建立轉換集
第三階段: 將已建立好的集成 crypto map 套用與 vpn_s1 與 vpn_s2 之
outbount interface 上 S0/0
outbount interface 上 S0/0
(以下為VPNS1操作畫面,VPNS2亦須做出與VPNS1同樣對應,不再贅述)
crypto map xxxx : xxx 為上述建立ok的crypto map 定義名稱
ip route 192.168.1.0 255.255.255.0 220.135.34.2 # vpn_s1 設置s tatic_ro
ip route 10.1.1.0 255.255.255.0 220.135.34.1 # vpn_s2 設置s tatic_ro
第四階段: 利用Ping 驗證VPN_S1(10.1.1.0/24)與VPN_S2(192.168.1.0/24) 之
內網IP彼此是否PING通
內網IP彼此是否PING通
# VPN_S1
# VPN_S2
第五階段: VPN建立測試成功後,接者查檢驗隧道參數
show crypto engine connections active
show crypto sesson
LAB操作參考資料:
CCNA Security Official EXAM Certification Guide/ Kevin Wallace CCIE
全站熱搜
留言列表
