|
1、IPSEC VPN 基本配置
access-list no-nat extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0
//定义VPN数据流
nat (inside) 0 access-list no-nat
//设置IPSEC VPN数据不作nat翻译
ip local pool vpn-pool 172.16.100.1-172.16.100.100 mask 255.255.255.0
//划分地址池,用于VPN用户拨入之后分配的地址。
crypto ipsec transform-set vpnset esp-des esp-md5-hmac
//定义一个变换集myset,用esp-md5加密的。(网上一般都是用esp-3des esp-sha-hmac 或esp-des esp-sha-hmac,而我使用的防火墙没开启3des,所以只能使用esp-des;至于esp-sha-hmac ,不知为什么,使用它隧道组始终无法连接上,所以改用esp-md5-hmac。具体原因不清楚。)
crypto dynamic-map dymap 10 set transform-set vpnset
//把vpnset添加到动态加密策略dynmap
crypto dynamic-map dymap 10 set reverse-route
crypto map vpnmap 10 ipsec-isakmp dynamic dymap
//把动态加密策略绑定到vpnmap动态加密图上
crypto map vpnmap interface outside
//把动态加密图vpnmap绑定到outside口
crypto isakmp identity address
crypto isakmp enable outside
// outside接口启用isakmp crypto isakmp policy 10 //进入isakmp的策略定义模式
authentication pre-share
//使用pre-shared key进行认证
encryption des
//定义协商用3DES加密算法
hash md5
//定义协商用md5加密算法(和前面一样,网上使用的是sha,我这里为了配合前面的esp-md5-hmac,而使用md5) group 2 //定义协商组为2,标准有1、2、3、5等多组,主要用于块的大小和生命时间等 lifetime 86400 //定义生命时间
group-policy whjt internal
//定义策略组(用于想进入的)想要运用策略组就必须用默认的策略组名,否则无法激活该组。
group-policy whjt attributes
//定义策略组属性
vpn-idle-timeout 1800
//设置VPN超时时间为1800秒
tunnel-group whjt type ipsec-ra
//建立VPN 远程登入(即使用隧道分离)组
tunnel-group whjt general-attributes //定义隧道组"whjt"属性 (责任编辑:编程世界) |