通信首页 | 产品超市 | 资讯 | 技术 | 行业研究 | 访谈 | 专题 | 社区 | 展会 | 政策法规 | 综述
3G | NGN | VoIP | IPTV | 手机电视 | 对讲机 | 路由器 | 交换机 | 布线 | 安全 | 服务器 | UPS
慧聪网首页 > 通信行业 > 行业资讯 > 其他
行业搜索
VPN的基本配置
2006年7月26日 17:46  来源:赛迪网技术社区  作者:korn
    VPN的基本配置  

    工作原理:一边服务器的网络子网为192.168.1.0/24 路由器为100.10.15.1 另一边的服务器为192.168.10.0/24 路由器为200.20.25.1。  

    执行下列步骤:  

    1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)  

    2. 为SA协商过程配置IKE。  

    3. 配置IPSec。  

    配置IKE: Shelby(config)#crypto isakmp policy 1 注释:policy 1示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅ Shelby(config-isakmp)#group 1 注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。 Shelby(config-isakmp)#authentication pre-share 注释:告诉路由器要使用预先共享的密码。 Shelby(config-isakmp)#lifetime 3600 注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。  

    Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1 注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。配置IPSec Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。  

    Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac 注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。  

    Shelby(config)#crypto map shortsec 60 ipsec-isakmp 注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。 Shelby(config-crypto-map)#set peer 200.20.25.1 注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。  

    Shelby(config-crypto-map)#set transform-set vpn1 Shelby(config-crypto-map)#match address 130 注释:这两个命令分别标识用于这个连接的传输设置和访问列表。 Shelby(config)#interface s0 Shelby(config-if)#crypto map shortsec 注释:将刚才定义的密码图应用到路由器的外部接口。现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。最后一步是不要忘记保存运行配置,否则所作的功劳白费了。  

    参照网络安全范围,VPN硬件设备应放置以下四个地点:  

    ● 在DMZ的防火墙之外  

    ● 连接到防火墙的第三个网卡(服务网络)  

    ● 在防火墙保护的范围之内 
    
    ● 与防火墙集成 
 
 [关键词]:VPN 虚拟专用网  发表评论    【推荐】 【打印

相关文章 更多 
·MPLS VPN安全问题探讨  (11.1 13:59)
·医保行业ICEFLOW VPN网络建设案例  (10.10 9:28)
·IP VPN:城域网角色的新诠释  (10.9 15:44)
·IPSEC VPN基本原理详细解析系列  (9.29 10:59)
·SSL VPN的市场和应用前景分析  (8.10 15:45)
·SSL VPN设备选购五大注意事项  (8.9 10:3)
·VPN行业级市场已启动 厂商开始圈地  (7.18 15:29)
·综述:VPN市场烽火四起谁主沉浮  (7.18 14:43)
·电信名词:虚拟专用网(VPN)  (4.21 11:5)
·VPN技术的发展现状及展望  (4.4 14:49)
我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名

文字广告
每日新闻排行
·中国3G标准TD未达商用..
·中国3G牌照发放在即 分..
·华为促使电信业并购 劣..
·普天出售劣质资产 450..
·小灵通推无月租套餐 移..
·国家统计局:通信等三..
·华为突破日本共建下一..
·中国即将拥有自主研发..
热点专题
将蓝牙进行到底-蓝牙耳机导购
中国移动新政
“挤兑”SP
访谈
导航系统将成为手机标配
访宇达电通总经理李敬平先生
揭开位置服务技术的神秘面纱
访东信北邮数据业务部经理王欣
交易市场
每日新帖
·[原创]在网上发贴子赚..
·史炜博客:今年千万不..
·中国3G:一万年太久
·12岁的中国联通[转帖]
·[原创]北电助劳斯莱斯..
·3G重复建设
·假若08年奥运我国3G没..
·中国铁通,我只想买条..
·全面揭秘:华为员工特别..
·[原创]北电IP电话体现..