VPN



Bagaimana untuk mengkonfigurasi Site-by-Site VPN tunnel

Ketahui cara mengkonfigurasi terowong VPN dari Laman-ke-Laman di penghubung Cisco anda. Contoh terperinci disediakan bersama rajah yang mudah difahami.



Dalam contoh ini, kami akan mengkonfigurasi terowong VPN tapak-tapak untuk menyediakan sambungan rangkaian antara kedua-dua LAN 192.168.1.0/24 dan 192.168.3.0/24. Terowong VPN dari Laman-ke-Laman tidak digunakan lagi untuk memihak kepada GRE melalui terowong IPSEC atau terowong DMVPN, namun panduan ini ada bagi mereka yang ingin atau perlu melakukannya
dengan cara ini.

Untuk mengkonfigurasi terowong VPN Tapak ke Laman dalam senario ini :

HQ Konfigurasi:

crypto isakmp policy 50
hash md5
authentication pre-share
crypto isakmp key vpnuser address 172.16.1.2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5 periodic
!
crypto ipsec security-association replay disable
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode tunnel
!
crypto map mymap 10 ipsec-isakmp
set peer 172.16.1.2
set transform-set myset
match address 100
!
interface Ethernet0/0
ip address 172.16.1.6 255.255.255.252
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 172.16.1.5
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255


Cawangan:

crypto isakmp policy 50
hash md5
authentication pre-share
crypto isakmp key vpnuser address 172.16.1.6
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5 periodic
!
crypto ipsec security-association replay disable
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
mode tunnel
!
crypto map mymap 10 ipsec-isakmp
set peer 172.16.1.6
set transform-set myset
match address 100
!
interface Ethernet0/0
ip address 172.16.1.2 255.255.255.252
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255


Untuk mengesahkan, cuba untuk ping antara 192.168.1.0/24 dan 192.168.3.0/24. Sebaik sahaja lalu lintas menjejaskan penghala, ia akan memulakan proses untuk menubuhkan terowong IPSEC. Anda boleh menggunakan perintah menunjukkan berikut untuk memaparkan terowong dan untuk menyelesaikan masalah:

Router#show crypto isakmp sa

          Untuk IKE fasa 1
          Periksa QM_IDLE status

Router#show crypto ipsec sa

          Untuk IKE fasa 2
          Periksa packet “encryption and decryption” kaunter semakin bertambah

No comments:

Post a Comment

Subscribe to: Posts (Atom)