配置 Cisco VPN 3000 集中器到 Cisco 路由器的连接

下载选项

PDF (544.9 KB)
在各种设备上使用 Adobe Reader 查看
ePub (413.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (750.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2008 年 3 月 24 日

文档 ID:14102

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

此示例配置显示如何将运行Cisco IOS®软件的路由器后面的专^用网络连接到Cisco VPN 3000集中器后面的专用网络。网络上的设备通过专用地址互相通信。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

带Cisco IOS软件版本12.3.(1)a的Cisco 2611路由器

注意：确保Cisco 2600系列路由器安装有支持VPN功能的加密IPsec VPN IOS映像。
带4.0.1 B的思科VPN 3000集中器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意：使用命令查找工具(仅限注册客户)可查找有关本文档中使用的命令的详细信息。

网络图

本文档使用此网络设置。

配置

本文档使用以下配置。

路由器配置
version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname dude ! memory-size iomem 15 ip subnet-zero ! ip audit notify log ip audit po max-events 100 ! !--- IKE policies. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco123 address 200.1.1.2 ! !--- IPsec policies. crypto ipsec transform-set to_vpn esp-3des esp-md5-hmac ! crypto map to_vpn 10 ipsec-isakmp set peer 200.1.1.2 set transform-set to_vpn !--- Traffic to encrypt. match address 101 ! interface Ethernet0/0 ip address 203.20.20.2 255.255.255.0 ip nat outside half-duplex crypto map to_vpn ! interface Ethernet0/1 ip address 172.16.1.1 255.255.255.0 ip nat inside half-duplex ! ip nat pool mypool 203.20.20.3 203.20.20.3 netmask 255.255.255.0 ip nat inside source route-map nonat pool mypool overload ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 203.20.20.1 ip route 172.16.20.0 255.255.255.0 172.16.1.2 ip route 172.16.30.0 255.255.255.0 172.16.1.2 ! !--- Traffic to encrypt. access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255 !--- Traffic to except from the NAT process. access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 permit ip 172.16.1.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 110 ! line con 0 line aux 0 line vty 0 4 ! end

路由器配置

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname dude
!
memory-size iomem 15
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
!
!--- IKE policies.

crypto isakmp policy 1
 encr 3des
 hash md5 
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 200.1.1.2
!
!--- IPsec policies.

crypto ipsec transform-set to_vpn esp-3des esp-md5-hmac 
!
crypto map to_vpn 10 ipsec-isakmp 
 set peer 200.1.1.2
 set transform-set to_vpn 

!--- Traffic to encrypt.

 match address 101
!
interface Ethernet0/0
 ip address 203.20.20.2 255.255.255.0
 ip nat outside
 half-duplex
 crypto map to_vpn
!
interface Ethernet0/1
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 half-duplex
!
ip nat pool mypool 203.20.20.3 203.20.20.3 netmask 255.255.255.0
ip nat inside source route-map nonat pool mypool overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 203.20.20.1
ip route 172.16.20.0 255.255.255.0 172.16.1.2
ip route 172.16.30.0 255.255.255.0 172.16.1.2
!
!--- Traffic to encrypt.

access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255

!--- Traffic to except from the NAT process.

access-list 110 deny   ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 deny   ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 110 deny   ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 110 deny   ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 deny   ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 110 deny   ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 110 deny   ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 deny   ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 110 deny   ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 110 permit ip 172.16.1.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 110
!
line con 0
line aux 0
line vty 0 4
!         
end

VPN 集中器配置

在本实验设置中，VPN集中器首先通过控制台端口访问，并添加最小配置，以便通过图形用户界面(GUI)完成进一步配置。

选择Administration > System Reboot > Schedule reboot > Reboot with Factory/Default Configuration以确保VPN集中器中不存在现有配置。

VPN集中器显示在快速配置中，这些项在重新启动后进行配置：

时间/日期
“Configuration > Interfaces”中的接口/掩码（public=200.1.1.2/24，private=192.168.10.1/24）
配置> 系统 > IP路由 > Default_Gateway(200.1.1.1)中的默认网关

此时，VPN集中器可通过HTML从内部网络访问。

注意：由于VPN集中器是从外部管理的，因此您还必须选择：

Configuration > Interfaces > 2-public > Select IP Filter > 1。 Private（默认）。
管理> 访问权限> 访问控制列表> 添加Manager Workstation以添加外部管理器的IP地址。

除非您从外部管理VPN集中器，否则不必执行此。

在启动GUI后，选择Configuration > Interfaces以重新检查接口。
选择Configuration > System > IP Routing > Default Gateways ，以配置Default (Internet)Gateway和Tunnel Default (inside)Gateway ，使IPsec能够到达专用网络中的其他子网。
选择Configuration > Policy Management > Network Lists以创建定义要加密的流量的网络列表。

以下是本地网络：

以下是远程网络：
完成后，以下是两个网络列表：

注意：如果IPsec隧道未启动，请检查相关流量是否在两端匹配。相关流量由路由器和PIX框中的访问列表定义。它们由VPN集中器中的网络列表定义。
选择Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN并定义LAN到LAN隧道。
单击Apply后，此窗口将显示为由LAN到LAN隧道配置自动创建的其他配置。

可以在Configuration > System > Tunneling Protocols > IPSec LAN到LAN中查看或修改以前创建的LAN到LAN IPsec参数。
选择Configuration > System > Tunneling Protocols > IPSec > IKE Proposals，以确认活动的IKE Proposal。
选择Configuration > Policy Management > Traffic Management > Security Associations以查看安全关联列表。
单击安全关联名称，然后单击修改以验证安全关联。

验证

本部分列出此配置中使用的show命令。

在路由器上

本部分提供的信息可帮助您确认您的配置是否可正常运行。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

show crypto ipsec sa — 显示当前安全关联所使用的设置。
show crypto isakmp sa - 显示对等体上的所有当前 Internet 密钥交换安全关联。
show crypto engine connection active — 显示所有加密引擎的当前活动加密会话连接。

您可以使用IOS命令查找工具(仅注册客户)查看有关特定命令的详细信息。

在 VPN 集中器上

选择Configuration > System > Events > Classes > Modify 以打开日志记录。这些选项是可用的：

IKE
IKEDBG
IKEDECODE
IPSEC
IPSECDBG
IPSECDECODE

日志严重性= 1-13

Console的严重性=1-3

选择Monitoring > Event Log以检索事件日志。

故障排除

在路由器上

在尝试任何debug命令之前，请参阅有关debug命令的重要信息。

debug crypto engine - 显示已加密的流量。
debug crypto ipsec - 显示第 2 阶段的 IPsec 协商。
debug crypto isakmp - 显示第 1 阶段的 ISAKMP 协商。

问题 — 无法启动隧道

错误消息

20932 10/26/2007 14:37:45.430 SEV=3 AUTH/5 RPT=1863 10.19.187.229
Authentication rejected: Reason = Simultaneous logins exceeded for user
handle = 623, server = (none), user = 10.19.187.229, domain = <not
specified>

解决方案

要配置所需的同时登录数或将此SA的同时登录数设置为5，请完成此操作：

转至Configuration > User Management > Groups > Modify 10.19.187.229 > General > Simultaneouts Logins，并将登录数更改为5。

PFS

在 IPsec 协商中，完全转发保密 (PFS) 可确保每个新的加密密钥与任何先前密钥不相关。在两个隧道对等体上启用或禁用PFS。否则，路由器中不会建立LAN到LAN(L2L)IPsec隧道。

要指定当为此加密映射条目请求新的安全关联时IPsec应请求PFS，或当IPsec收到新安全关联请求时需要PFS，请在加密映射配置模式下使用set pfs命令。要指定IPsec不应请求PFS，请使用此命令的no形式。

set pfs [group1 | group2]
no set pfs

对于 set pfs 命令：

group1 — 指定IPsec在执行新的Diffie-Hellman交换时应使用768位Diffie-Hellman主模组。
group2 — 指定IPsec在执行新的Diffie-Hellman交换时应使用1024位Diffie-Hellman主模组。

默认情况下，不会请求 PFS。如果未使用此命令指定组，则将组1用作默认值。

示例：

Router(config)#crypto map map 10 ipsec-isakmp
Router(config-crypto-map)#set pfs group2

有关set pfs命令的详细信息，请参阅《Cisco IOS安全命令参考》。

配置 Cisco VPN 3000 集中器到 Cisco 路由器的连接

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

规则

配置

网络图

配置

VPN 集中器配置

验证

在路由器上

在 VPN 集中器上

故障排除

在路由器上

问题 — 无法启动隧道

PFS

相关信息

修订历史记录

此文档是否有帮助?

联系我们

本文档适用于以下产品