|
VPN的配置是当代技术领域的热点问题,也是下午考试的重点内容,尤其在最近几年几乎每年必考。为了帮助考生快速掌握VPN的具体实现,下面以Cisco路由器为例,简单介绍一下VPN的配置过程以及相关命令。
|
|
|
|
一边服务器的网络子网为192.168.1.0/24,路由器为100.10.15.1;另一边服务器的网络子网为192.168.10.0/24,路由器为200.20.25.1。
|
|
|
|
(1)确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)。
|
|
|
|
|
|
|
说明:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3……
|
|
|
|
说明:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥。group命令有两个参数值,即1和2。参数值1表示使用768位密钥,参数值2表示使用1024位密钥。显然后一种密钥安全性高,但消耗更多的CPU和时间。
|
|
|
|
|
|
说明:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86 400,也就是一天。值得注意的是,两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
|
|
|
|
说明:返回到全局设置模式确定要使用的预先共享密钥和指定VPN另一端路由器IP地址,即目的路由器IP地址。相应的在另一端路由器的配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
|
|
|
|
|
说明:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
|
|
|
|
说明:在这里两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密钥的加密算法。
|
|
|
|
说明:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解开使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
|
|
|
|
说明:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
|
|
|
|
说明:这两个命令分别用于标识这个连接的传输设置和访问列表。
|
|
|
|
说明:将刚才定义的密码图应用到路由器的外部接口上。
|
|
|