收藏
下载资源 加入VIP免费专享

VPN网络研究与实现 毕业论文.doc

上传人:白大夫 文档编号:4542662 上传时间:2019-11-15 格式:DOC 页数:17 大小:468.06KB
返回 下载 相关 举报
VPN网络研究与实现 毕业论文.doc_第1页
第1页 / 共17页
VPN网络研究与实现 毕业论文.doc_第2页
第2页 / 共17页
VPN网络研究与实现 毕业论文.doc_第3页
第3页 / 共17页
VPN网络研究与实现 毕业论文.doc_第4页
第4页 / 共17页
VPN网络研究与实现 毕业论文.doc_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《VPN网络研究与实现 毕业论文.doc》由会员分享,可在线阅读,更多相关《VPN网络研究与实现 毕业论文.doc(17页珍藏版)》请在三一文库上搜索。

1、VPN网络研究与实现摘要:虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM、Frame Relay等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。本文首先介绍了VPN的定义和意义。然后介绍了VPN的分类与优势及其实

2、现的关键技术,隧道、加密、管理、认证等技术,最后运用IPsec技术实现大型公司不同地域的内网互联的案例。关键词:VPN;网络;隧道;IPSecResearch And Implementation Of VPN NetworkAbstract:Virtual Private Network which is called VPN for short refers to the technology of constructing the private network on the public network. The reason why it is called virtual netw

3、ork is mainly that the connection between the two arbitrary points of the whole VPN does not have the end-to-end physical link that is needed by the traditional private network, but steps on the network platforms which are provided by the public network service providers , such as the logical networ

4、k which is senior to Internet、ATM、Frame Relay. User data is transformed in logical link. It covers packaging of crossing shared network or public network, encryption and extension of private network about authentication link. VPN mainly adopts tunneling technique, encryption technique, key managemen

5、t technique and authentication technique of users and equipments.At first the article introduces the definition and the significance of VPN. Then it introduces the VPN classifications, advantages, real key technology and the techniques such as tunneling, encryption, management, and authentication an

6、d so on. At last it uses IPSec technology to realize the cases on NAT Traudio-videoersing of big companies in different areas. Key word:VPN;network;tunnel;IPSec目 录引言11 VPN简介11.1 VPN的定义11.2 VPN的工作原理11.3 VPN的研究意义22 VPN的分类和技术概要32.1 VPN的特征32.1.1 专用(Private)32.1.2 虚拟(Virtual)32.2 VPN的优势32.2 VPN的分类42.2.1

7、按VPN的业务类型划分42.2.2 按VPN的实现技术划分52.3 实现VPN的关键技术52.3.1隧道技术(Tunneling)52.3.2加解密技术(Encryption & Decryption)52.3.3密钥管理技术(Key Management)62.3.4身份认证技术(Authentication)64 VPN案例实现64.1 公司需求分析64.2方案设计:64.2.1网络拓扑:64.2.2 IP地址规划74.2.3 配置代码74.2.4 VPN关键配置104.3方案测试12参考文献:14致谢:15引言VPN技术是因特网发展的一种成熟的、便捷实用的技术。现代公司的商业宣传、销售、

8、培训等等,越来越依靠网络资源来实现。更多的企业热衷使用外部网络来代替本公司的内部网络。如果两个企业的内部网络想直接通讯,只要两方同时接入VPN服务即可实现,不必再向ISP申请专线。员工如果在外地出差,可以随时通过VPN服务访问公司的内部网络,不受地理时间上的限制。1 VPN简介1.1 VPN的定义VPN(Virtual Private Network,虚拟专用网)是一种网络新技术,它不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网络连接任意两个节点之间不需

9、要传统的专用网络端到端的物理链路,而是利用某种公共网络资源动态组成的。虚拟专用网用户使用互联网公用网络的长途数据传输线路,并不单独架设一条实际的物理上的长途数据传输线路,用户也可以根据自己的需求制定专属的网络架构。VPN( Virtual Private Network)被定义为是一条在公共网络的基础上建立的一条临时且安全的连接线路,是一条稳定且安全的隧道。虚拟专用网够协助公司用户、总部及其分支机构、合作伙伴及商业人士内部的网络组建临时的安全可靠的连接,并确保资料的完整并且确实安全传输到对方。通过将数据流转移到公共的网络上,可以极大的降低连通专线的成本。一个企业的虚拟专用网解决方案也将大幅度的

10、降低用户花费在城域网和远程网络连接上的费用。同时,这将简化网络管理与设计,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络资源。“随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的业务上面,而不是网络安全上面。虚拟专用网可用于不断增长的移动用户的因特网接入,以实现安全可靠的连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于安全有效地连接到商业伙伴和用户的安全外联虚拟专用网。”11.2 VPN的工作原理由于数据流需要在公共网络上传送数据,但是因特网只能处理IP数据流。如果想将一个非IP的数据流从一个网络传送到另外的一个网络,就需要使用VPN技术。其

11、次公共网络上传输的数据包都是以明文进行传输的,网络上的路由器能够看到传送的数据流量,也就能读取数据内容。这就为传送重要商业信息的安全上埋下了重大的隐患。VPN网络为了解决这些不安全因素所使用的主要办法是采用隧道技术:数据报先是进行安全加密,以确保数据即使泄露也不能被正确读取;然后由VPN封装成网络上通用的IP数据包形式再在公共网络上传输,如图通过一条预先建立的隧道一样。如图1-1所示:图1-1 VPN工作原理图VPN网络两端的VPN设备相互协商,双方就数据的加密类型和方法进行统一。然后发送端将发往接受端的整个数据包进行加密,再将加密好的数据包封装成公网统一的IP数据包,在公网上发往接收端的VP

12、N设备。接受端的VPN设备先将接收到的IP数据包进行拆包,还原成未封装的数据,再按照事先统一的数据加密类型进行相应的解密,最后将还原后的数据包转发至内网当中。按照上述的方法对数据进行加密又封装,可以保证内网的数据可以通畅的在公共网络上传输,又能保证数据的安全型。即使数据被人窃取,也会因为没有解密的密钥而无法破解数据中的内容。1.3 VPN的研究意义随着Internet和电子商务的迅速发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而极大的简化了信息交流的途径,增加信息交换速度。“这些合作和联系是动态的,并

13、依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。”2还有一类用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容的现象也更为严重。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。用户的不断需求正是虚拟专用网技术诞生的直接原因。虽然VPN在理解和实现方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情

14、况下VPN的各种实现方法都可以实现于每个公司。即使不需要使用加密数据,也可节省开支。2 VPN的分类和技术概要2.1 VPN的特征VPN具有以下两个基本特征:2.1.1 专用(Private)对于VPN用户,使用VPN与使用传统专网没有区别,VPN与底层承载网络之间保持资源上的独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。2.1.2 虚拟(Virtual)VPN用户间内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专用网。这个公共网络称为VPN骨干网(VPN

15、 Backbone)。利用VPN的专用和虚拟的特性,可以把现有的IP网络分解成逻辑上隔离的网络。“这种逻辑隔离的网络应用丰富:可以用在解决企业内部的互连、相同或不同办事部门的互连:也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。”3在解决企业互连和提供各种新业务方面,VPN,尤其是MPLS VPN,越来越被运营商所看好,成为运营商在IP网络提供重要的增值手段。2.2 VPN的优势从客户角度,VPN和传统的数据专网相比较具有如下优势:1.安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全的数据连接

16、,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合尤其重要。2.廉价:利用公共网络进行信息通讯,企业可以用廉价的成本连接远程办事机构、出差人员和业务伙伴。3.支持移动业务:支持驻外VPN用户在任何时间点、任何地点的移动接入,都能够满足不断增长的移动业务需求。4.服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同安全等级的服务质量保证。从运营商角度看,VPN具有如下优势:5.可运营:提高网络资源利用率,丰富网络产品业务,有助于增加ISP的收益。6.灵活:通过软件的配置就可以增加、删除VPN用户,无需改动硬件基础设施。在应用上具有强大的灵活性

17、。7.多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。“VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。”4VPN在保证网络的安全性、可靠性、可管理性的同时提供更强大的扩展性和灵活性。在全球任何一个角落,只要能够接入到因特网,即可使用VPN。2.2 VPN的分类VPN可按业务类型和

18、实现技术两个角度进行分类。2.2.1 按VPN的业务类型划分从不同的角度看VPN,就可以得到不同的VPN类型,按照应用领域,我们可以把VPN分成以下三类:远程访问(Access VPN)远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP与电缆技术等各种方式与公司总部或是公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。“推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫Access VPN(或访问型VPN),这是基本的VPN应用类型。”5不难证明

19、,其他类型的VPN都是Access VPN的组合、延伸和扩展。(2)组建内联网(Intranet VPN)一个组织机构的总部或是中心网络与跨地域的分支机构网络在公共通信基础设施上采用的是隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制等安全特性,利用VPN组建的内联网也叫Intranet VPN。Intranet VPN是优化内联网结构安全和连接安全、传输安全的主要方法。(3)组建外联网 (Extranet VPN)使用虚拟专用网络技术在公共通信基础设施上将合

20、作伙伴和有共同利益的主机或网络与内联网对等的连接起来,根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的市场应用价值。“这样组建的外联网也叫Extranet VPN。Extranet VPN是解决外联网结构安全和连接安全、传输安全的主要方法。”6若外联网VPN的连接和传输中使用了安全加密技术,必须解决其中的密码分发和管理的一致性问题。2.2.2 按VPN的实现技术划分目前,市场主流的VPN技术有IPSec VPN、SSL VPN、MPLS VPN。IPSec VPN是一个市场应用广泛、开放的VP

21、N安全协议技术,它提供了如何让保密性强的数据流在开放的网络中传输的安全机制。它工作在网络层,为数据传输过程提供多种安全保护,主要手段是对数据进行加密和对数据收发方进行身份认证。“IPSec VPN技术可以设置成在两种模式下运行,一种是隧道模式,把IPv4数据包封装在安全的IP帧中进行传输,但这种方式系统开销比较大;另一种模式是传输模式,隐藏路由信息,提供端到端的安全保护。”7“SSL VPN也是一种在Internet上确保信息安全收发的通用协议技术,位于TCP/IP协议与各种应用层协议之间,以可靠的传输协议(如TCP)为根基,为高层协议提供数据封装、压缩、加密等基本功能的支持,为网络的连接提供

22、服务器认证、可选的客户认证、SSL链路上的数据完整性保证、保密性保证。目前,SSL VPN也广泛被应用于各种浏览器中,使用者利用浏览器内的SSL封装包处理功能,用浏览器连接单位内网的SSL VPN服务器,通过网络封包转向的方式,从而让远程计算机执行任务,读取单位内网上的信息。”8“多协议标签交换MPLS VPN是一种面向连接的技术,通过MPLS信令建立好MPLS标记交换通道LSP,数据转发时在网络的入口处对信息进行分类,网络设备中根据分类选择相应的交换通道LSP,并打上相应的标签,再转发时直接根据报头的标签转发,不再通过IP地址查找,在LSP出口处,卸掉标签,还原为原来的IP数据包。”9它是一

23、种快速的数据包交换和路由体系,通过标签交换路径方法将私有网络中的不同分支联系起来,从而形成一套虚拟的统一的网络整体。基于这种交换和路由的特性,它的路由工作在网络中的第三层,而核心任务工作在第二层。2.3 实现VPN的关键技术2.3.1隧道技术(Tunneling)隧道技术是一种通过使用internet基础设施在网络之间安全传递数据的方法。“隧道协议将其他协议的数据包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过因特网传递。”10在Internet上建立隧道可以在不同的协议层上实现,例如数据链路层、网络层或是传输层,这是VPN独有的技术。2.3.2加解密技术(En

24、cryption & Decryption)VPN可以利用已有的加解密技术实现保密的通信,保证公司业务及个人通信的安全保障。2.3.3密钥管理技术(Key Management)建立隧道及保密通信都需要密钥管理技术的支持,密钥管理负责密钥的生成、分发。控制及跟踪,和验证密钥的真实性等。2.3.4身份认证技术(Authentication)加入VPN的用户通常使用用户名和密码,或是智能卡来实现用户的身份认证。4 VPN案例实现4.1 公司需求分析随着市场经济全球化步伐的加快,跨国、跨地区的企业收购和合等并日增多。每家公司的分支机构的分布也越来越广泛,公司各分支机构之间为了共享重要的商业数据,需要

25、将各分支机构之间联网,在保证数据存储和传输安全的前提下又要共享数据,同时解决方案尽可能的要减少投入和降低使用成本。分析这些需要互联的企业用户的需求特点,可以简单归纳为以下几点:1)分支机构相互分布在不同地点2)需要共享大量的商业数据,对公司接入的带宽有一定的要求3)“必须保证数据在传输过程中的安全性。过去的企业网络,多以封闭式的专线连接为主, 其主要原因就是考虑数据传输的安全性。”11若在网络的安全性不能被保障的状况下,一旦企业重要资料被他人所窃取,将对企业造成难以弥补的损失4)解决方案低成本4.2方案设计:4.2.1网络拓扑:一公司有一总部和俩个分支机构,三个不同区域的网络内部均采用私有IP

26、地址,但要接入Internet,要让一般用户可以从Internet访问。总部与各分部之间,要求建立站点间的VPN,即通过私有IP地址可以互相访问。由于MPLS VPN依靠电信ISP链路到户,灵活性大守限制,而且长期租用的资金较高。对移动客户端很难支持,因此最终选定使用IPsec VPN技术来实现网络。网络拓扑见图4-1所示:图4.1 IPSec VPN网络拓扑图4.2.2 IP地址规划网络地址规划见表4-1所示:表4-1 IP地址规划RouterAF0/0:200.1.1.1S2/0:100.1.1.1RouterBF0/0:102.1.1.1F1/0:101.1.1.1S2/0:100.1.

27、1.2总部RouterF0/0:192.168.3.254F0/1:200.1.1.2服务器192.168.3.254主机0192.168.3.1主机1192.168.3.2分支机构1Router1F0/0:101.1.1.2F0/1:192.168.1.254主机2192.168.1.1分支机构2Router2F0/0:102.1.1.2F0/1:192.168.2.254主机3192.168.2.14.2.3 配置代码RouterA配置RouterenableRouter#configure terminalRouter(config)#hostname RouterARouterA(co

28、nfig)#interface FastEthernet0/0RouterA(config-if)#ip address 200.1.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface S0/2RouterA(config-if)#ip address 100.1.1.1 255.0.0.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdownRouterA(config-if)#exitRouterA(config)#rou

29、ter rip /配置rip协议RouterA(config)#network 100.0.0.0RouterA(config)#network 200.1.1.0RouterA(config)#version 2RouterA(config)#exitRouterB配置RouterenableRouter#configure terminalRouter(config)#hostname RouterBRouterB(config)#interface FastEthernet0/0RouterB(config-if)#ip address 102.1.1.1 255.0.0.0Router

30、B(config-if)#no shutdownRouterB(config)#interface FastEthernet1/0RouterB(config-if)#ip address 101.1.1.1 255.0.0.0RouterB(config-if)#no shutdownRouterB(config)#interface S0/2RouterB(config-if)#ip address 100.1.1.2 255.0.0.0RouterB(config-if)#clock rate 64000RouterB(config-if)#no shutdownRouterB(conf

31、ig)#router rip /配置rip协议RouterB(config)#network 100.0.0.0RouterB(config)#network 101.0.0.0RouterB(config)#network 102.0.0.0RouterB(config)#version 2RouterB(config)#exitRouter配置RouterenableRouter#configure terminalRouter(config-if)#interface FastEthernet0/0Router(config-if)#ip address 192.168.3.254 25

32、5.255.255.0Router(config-if)#no shutdownRouter(config-if)#ip nat insideRouter(config-if)#interface FastEthernet0/1Router(config-if)#ip address 200.1.1.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#ip router 0.0.0.0 0.0.0.0 f0/1/设置默认网

33、关Router(config)#ip nat pool out 200.1.1.2 200.1.1.3 netmask 255.255.255.0Router(config)#access-list 10 permit 192.168.3.0 0.0.0.255Router(config)#ip nat inside source list 10 pool outRouter1配置Router1enableRouter1#configure terminalRouter1(config-if)#interface FastEthernet0/1Router1(config-if)#ip add

34、ress 192.168.1.254 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#ip nat insideRouter1(config-if)#interface FastEthernet0/0Router1(config-if)#ip address 101.1.1.2 255.0.0.0Router1(config-if)#no shutdownRouter1(config-if)#ip nat outsideRouter1(config-if)#exitRouter1(config)#ip router 0

35、.0.0.0 0.0.0.0 f0/0/设置默认网关Router1(config)#ip nat pool out 101.1.1.2 101.1.1.2 netmask 255.255.255.0Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255Router1(config)#ip nat inside source list 10 pool outRouter2配置Router2enableRouter2#configure terminalRouter2(config-if)#interface FastEthernet

36、0/1Router2(config-if)#ip address 192.168.2.254 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#ip nat insideRouter2(config-if)#interface FastEthernet0/0Router2(config-if)#ip address 102.1.1.2 255.0.0.0Router2(config-if)#no shutdownRouter2(config-if)#ip nat outsideRouter2(config-if)#exi

37、tRouter2(config)#ip router 0.0.0.0 0.0.0.0 f0/0/设置默认关Router2(config)#ip nat pool out 102.1.1.2 102.1.1.2 netmask 255.255.255.0Router2(config)#access-list 10 permit 192.168.2.0 0.0.0.255Router2(config)#ip nat inside source list 10 pool out4.2.4 VPN关键配置Router1配置Router1#config tRouter1(config)#crypto i

38、sakmp policy 1/配置IKE策略Router1(config-isakmp)#encryption 3desRouter1(config-isakmp)#hash md5Router1(config-isakmp)#authentication pre-share/配置IKE的验证方法为pre-share(预共享密钥认证方法)Router1(config-isakmp)#crypto isakmp key apple address 200.1.1.2/设置远端的对等体的共享密钥为appleRouter1(config)#crypto ipsec transform-set nam

39、e1 ah-md5-hmac esp-3des/设置名为“name1”的交换集指定AH散列算法为md5、ESP加密算法为3DES Router1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255Router1(config)#crypto map test1 11 ipsec-isakmp/设置加密图名称为“test1”,序号为11Router1(config-crypto-map)#set peer 200.1.1.2/设置对端的ip地址RouterA(config-crypto-map

40、)#set transform-set name1/设置隧道的AH及ESP,即将加密图用于交换集Router1(config-crypto-map)#match address 101/设置匹配101号的访问列表Router1(config-crypto-map)#exitRouter1(config)#interface f0/0Router1(config-if)#crypto map test1/将加密图test应用于这个端口,即用其加密Router1(config-if)#exitRouter2配置Router2#config tRouter2(config)#crypto isakm

41、p policy 1 /配置IKE策略Router2(config-isakmp)#encryption 3desRouter2(config-isakmp)#hash md5Router2(config-isakmp)#authentication pre-share/配置IKE的验证方法为pre-share(预共享密钥认证方法)Router2(config-isakmp)#crypto isakmp key orange address 200.1.1.2/设置远端的对等体的共享密钥为orangeRouter2(config)#crypto ipsec transform-set name

42、2 ah-md5-hmac esp-3des/设置名称为“name1”的交换集指定AH散列算法为md5,ESP加密算法为3DES Router2(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255Router2(config)#crypto map test2 12 ipsec-isakmp/设置加密图名称为“test2”,序号为12Router2(config-crypto-map)#set peer 200.1.1.2/设置对端的ip地址Router2(config-crypto-map

43、)#set transform-set name2/设置隧道的AH及ESP,即将加密图用于交换集Router2(config-crypto-map)#match address 102/设置匹配101号的访问列表Router2(config-crypto-map)#exitRouter2(config)#interface f0/0Router2(config-if)#crypto map test2/将加密图test2应用于此端口,即用其加密Router2(config-if)#exitRouter配置Router#config tRouter(config)#crypto isakmp p

44、olicy 1/配置IKE策略Router(config-isakmp)#encryption 3desRouter(config-isakmp)#hash md5Router(config-isakmp)#authentication pre-share/配置IKE的验证方法为pre-share(预共享密钥认证方法)Router(config-isakmp)#crypto isakmp key apple address 101.1.1.2/设置远端的对等体的共享密钥为appleRouter(config)#crypto ipsec transform-set name1 ah-md5-hm

45、ac esp-3des/设置名为“name1”的交换集指定AH散列算法为md5、ESP加密算法为3DES Router(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255Router(config)#crypto map test1 11 ipsec-isakmp/设置加密图名称为“test1”,序号为11Router(config-crypto-map)#set peer 101.1.1.2/设置对端的ip地址Router(config-crypto-map)#set transform-

46、set name1/设置隧道的AH及ESP,即将加密图用于交换集Router(config-crypto-map)#match address 101/设置匹配101号的访问列表Router(config-crypto-map)#exitRouter(config)#interface f0/1Router(config-if)#crypto map test1/将加密图test1应用于此端口,即用其加密Router(config-if)#exitRouter(config)#crypto isakmp policy 1/配置IKE策略Router(config-isakmp)#encrypt

47、ion 3desRouter(config-isakmp)#hash md5Router(config-isakmp)#authentication pre-share/配置IKE的验证方法为pre-share(预共享密钥认证方法)Router(config-isakmp)#crypto isakmp key orange address 101.1.1.2/设置远端的对等体的共享密钥为orangeRouter(config)#crypto ipsec transform-set name2 ah-md5-hmac esp-3des /设置名为“name2”的交换集指定AH散列算法为md5、ESP加密算法为3DES Router(config)#access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255Router(config)#crypto map test2 12 i

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1