Cisco路由器上配置VRF-aware Site-to-Site IPsec VPN的实例

本站之前通过场景实例向大家展示了用Virtual Routing and Forwarding (VRF,虚拟路由转发)将一个路由器分割成八个虚拟路由器的方法。当时我向大家演示了如何配置VRF,在本文中我们继续使用这个场景,并通过IPsec配置,将完全一致的拓扑结构和地址复制到八个实验环境。整个环境能够顺利进行,首先需要带有ASA的虚拟路由与Cisco 路由器建立VPN。这需要 VRF参与的IPsec。因此我需要一种方法能够实现完全一致的 isakmp 策略,一致的pre-shared keys, 一致的 crypto ACL, 也就是每个 VRF上的参数一致。实际的配置过程可能比我们想像的简单一些。下面我就来举例说明整个过程。

首先是建立ISAKMP 策略:

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

!

在配置过程中,我们可以在八个VRF中使用相同的元素,因此只需要建立一个ISAKMP 策略。接下来建立crypto ACL 以及一个 IPsec transform set。

ip access-list extended VPN

permit ip 10.0.100.0 0.0.0.255 10.0.1.0 0.0.0.255

crypto ipsec transform-set VPN-TRANS esp-aes esp-sha-hmac.

接下来是建立 pre-shared key。在本例中我曾经使用过一个keyring 作为 预共享 key,因此我直接将其绑定到 VRF即可。

crypto keyring POD1keys vrf POD1

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD2keys vrf POD2

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD3keys vrf POD3

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD4keys vrf POD4

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD5keys vrf POD5

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD6keys vrf POD6

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD7keys vrf POD7

pre-shared-key address 192.168.1.2 key cisco123

crypto keyring POD8keys vrf POD7

pre-shared-key address 192.168.1.2 key cisco123

!

接下来建立 crypto-maps.

!

crypto map pod1 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod2 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod3 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod4 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod5 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod6 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

crypto map pod7 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

set isakmp-profile pod7

match address VPN

!

crypto map pod8 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set VPN-TRANS

set pfs group2

match address VPN

!

时间: 2024-11-18 21:09:38

Cisco路由器上配置VRF-aware Site-to-Site IPsec VPN的实例的相关文章

cisco路由器上配置TCP拦截

大家先回顾一下我之前发的"ACL中的established选项"中关于TCP的内容. 之前说过,TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答.那么,如果发送方并不回复ACK,主机就会因为超时而结束连接.当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源.在等待三次握手过程中耗尽主机资源

在CISCO路由器上配置NAT功能

随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题.为了解决这个问题,出现了多种解决方案.下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能. 一.NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请.在网络内部,各计算机间通过内部的IP地址进行通讯.而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的

在cisco路由器上配置802.1x认证

通过配置802.1x认证有哪些用处呢?本文主要从802.1x的认证配置和实现详细的讲述了配置原理和应用过程.同时对于配置的操作给出了配置命令.要使用基于端口的认证,则交换机和用户PC都要支持802.1x标准,使用局域网上的可扩展认证协议(EAPOL),802.1x EAPOL是二层协议,如果交换机端口上配置了802.1x, 那么当在端口上检测到设备后,该端口首先处于未认证状态,端口将不转发任何流量(除了CDP,STP和EAPOL),此时客户PC只能使用EAPOL协议与交换机通信,我们需要再客户P

Cisco路由器上配置pppoe拨号

Router#show run Building configuration... Current configuration : 1115 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Router ! no logging on enable secret 5 $1$oyeO$b.DP73YbQ

cisco路由器的配置命令

当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条命令列表. 当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,有一些东西是你在每台新的Cisco路由器上都应该配置的. 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的"正确"配置每台路由器的命令. 这是我认为你应该在每台路由

Cisco路由器上如何防止DDoS

Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议 1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),

《IS-IS网络设计解决方案》一6.3 Cisco路由器上实现IS-IS SPF

6.3 Cisco路由器上实现IS-IS SPF IS-IS网络设计解决方案在特定的路由器平台上对某种协议的实现对网络操作者来说几乎是透明的,不同厂商的产品之间遵循标准以实现互操作性.特定厂商的协议实施细节及软件代码通常具有厂商的专利.但无论如何,一名网络工程师如果想要更好地了解特定平台上的IS-IS原理和操作方法,都要学习各种参数,如默认计时器.标志位.默认参数以及如何配置方面.此外,如ISO 10589和RFC 1195这类标准也提供了非常有用的指导.本节对Cisco路由器上IS-IS协议的

如何在Cisco Switch上配置IP

如何在Cisco Switch上配置IP Address和MAC Address的binding 内容提要: 目前,很多公司的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP地址和MAC地址绑定的配置方案. 说明: 目前,很多公司的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP地址和MAC地址绑定的配置方案. IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制长度4个字节

如何在路由器上配置自反访问控制的列表

自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表.那么如何在路由器上完成自反访问控制列表的配置呢?下面我们开始逐步进行: 注意必须是内部发起的!用命名的ACL做. 不是很好理解,看个例子吧. 先看下面的: ip access-list extended abc deny icmp any 192.168.1.0 0.0.0.255 permit ip any any exit in