1. Trang chủ
  2. » Thể loại khác

Cấu hình IPSEC kết hợp với HSRP ppsx

6 325 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 31 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Cho mô hình mạng như sau:yêu cầu: VRX1 và VRX2 chạy HSRP cho 2 cổng bên ngoài kết nối với Backbone - ISP... //Chú ý: địa chỉ IP là địa chỉ của HSRP virtual của 2 con HSRP router crypto i

Trang 1

Cho mô hình mạng như sau:

yêu cầu:

VRX1 và VRX2 chạy HSRP cho 2 cổng bên ngoài (kết nối với Backbone - ISP) Ip virtual HSRP : 172.16.172.53

VPN 7200 làm VPN site-to-site với địa chỉ HSRP virtual IP của 2 con VRX1 và VRX2

Tại con VPN7200:

show

VPN7200#show run

VPN7200#show running-config

Building configuration

Current configuration : 1360 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname VPN7200

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

memory-size iomem 15

ip cef

!

!

!

!

!

voice-card 0

!

!

!

!

Trang 2

!

!

!

!

!

!

!

!

!

!

!

//Định nghĩa ISAKMP policy và preshared key cho xác thực IKE

//Chú ý: địa chỉ IP là địa chỉ của HSRP virtual của 2 con HSRP router crypto isakmp policy 1

authentication pre-share

crypto isakmp key cisco address 172.16.172.53

//Dùng IKE keepalive để xác định sự tồn tại của con Router đầu xa

//Khi 1 trong 2 con VXR1 hoặc VXR2 fail, IKE keepalive sẽ xác định được //con Router còn lại mà chuyển qua và tiếp tục kết nối VPN

crypto isakmp keepalive 10

!

!

crypto ipsec transform-set MYSET esp-des esp-md5-hmac

!

//Tạo crypto map Địa chỉ phải là địa chỉ HSRP virtual

crypto map MYMAP 10 ipsec-isakmp

set peer 172.16.172.53

set transform-set MYSET

match address 100

!

!

!

!

interface Loopback0

ip address 20.1.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 172.16.172.69 255.255.240.0

duplex auto

speed auto

crypto map MYMAP

!

Trang 3

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/1/0

no ip address

shutdown

clock rate 2000000

!

interface Serial0/1/1

no ip address

shutdown

clock rate 2000000

!

ip route 10.1.1.0 255.255.255.0 172.16.172.65

ip route 99.99.99.99 255.255.255.255 172.16.172.65

ip route 172.16.172.48 255.255.240.0 192.168.1.254

!

!

ip http server

no ip http secure-server

!

access-list 100 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 100 permit ip 20.1.1.0 0.0.0.255 host 99.99.99.99

!

!

!

control-plane

!

!

!

line con 0

line aux 0

line vty 0 4

privilege level 15

logging synchronous

no login

!

scheduler allocate 20000 1000

end

Tại VXR1

Trang 4

Current configuration : 1611 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname VXR1

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

memory-size iomem 15

ip cef

!

!

!

!

!

!

voice-card 0

!

!

!

//Tao ISAKMP policy

crypto isakmp policy 1

authentication pre-share

crypto isakmp key cisco address 192.168.1.1

crypto isakmp keepalive 10

!

!

crypto ipsec transform-set myset esp-des esp-md5-hmac

!

//Tạo Crypto Map.

//Chú ý: "Reverse-route" bật tính năng RRI (Khi vpn7200 kết nối VPN thì trên 2 con VXR1 và VXR2 tạo 1 route chỉ về vpn7200)

crypto map mymap 10 ipsec-isakmp

set peer 192.168.1.1

set transform-set myset

match address 101

reverse-route

Trang 5

!

!

!

//Định nghĩa HSRP Ta phải định nghĩa HSRP name để sau đó dùng trong //cấu hình IPSEC Từ Khóa "redundancy" trong cryptomap chỉ định rằng

//group HSRP này sẽ kết hợp với IPSEC nào.

interface FastEthernet0/0

ip address 172.16.172.52 255.255.255.0

duplex auto

speed auto

standby 1 ip 172.16.1.4

standby 1 priority 200

standby 1 preempt

standby 1 name VPNHA

standby 1 track FastEthernet0/1 150

crypto map mymap redundancy VPNHA

!

interface FastEthernet0/1

ip address 10.0.1.1 255.255.255.0

duplex auto

speed auto

!

interface Serial0/1/0

no ip address

shutdown

no fair-queue

clock rate 2000000

!

interface Serial0/1/1

no ip address

shutdown

clock rate 2000000

!

interface Serial0/2/0

no ip address

shutdown

clock rate 2000000

!

router ospf 1

log-adjacency-changes

redistribute static subnets

network 10.1.1.0 0.0.0.255 area 0

default-information originate

!

ip route 0.0.0.0 0.0.0.0 172.16.172.254

Trang 6

!

ip http server

no ip http secure-server

!

access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255

access-list 101 permit ip host 99.99.99.99 0.0.0.255 20.1.1.0 0.0.0.255

!

!

!

!

control-plane

!

!

!

!

!!

line con 0

line aux 0

line vty 0 4

login

!

scheduler allocate 20000 1000

end

Tại VXR2:

Cấu hình tương tự như VxR1 tuy nhiên ta đổi lại thông số IP cũng như là ACL cho phù hợp

Ngày đăng: 25/07/2014, 08:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w