当前位置: 主页 > 网络知识 > CISCO技术 > 在Cisco IOS上部署IPSec VPN

在Cisco IOS上部署IPSec VPN

时间:2010-12-31来源:互联网 点击:
VPN信道需要一个更便宜而且通常也更快速的替代品,以代替桢中继甚至MPLS WAN(广域网)连接。“网站到网站”的VPN信道无需整月的载波费用,仅仅需要一个Internet连接,比如DSL或者有线宽带——比桢中继甚至 MPLS相对来说便宜得多。你可以使用商业级别的静态IP DSL或者Cable,本文将主要讨论该种情况。我们将假定你有基本的路由器,并连到了Internet上。

你甚至可以在一端使用更便宜的动态IP ADSL或有线cable服务,而另一端使用一个静态IP地址,不过这种情形我们将在以后的文章中再进行具体讨论。

所需软硬件

所有Cisco的路由器,从800到7600系列都有正确的软件包支持IPSec.如果你有一个老式 1700, 2600, 3600, 或7200的Cisco路由器IPSec许可,你可以继续使用它。不过,那些路由器已经快到失效期,你每年将不得不为2600以及其他上述老路由器的合同支付大量费用,与其花这些钱其实还不如考虑购买一台新的1841,不但有全新的功能,价格也不贵。

新式1841路由器实际比旧式3600系列路由器有更快的IPSec吞吐量,而费用比旧式3600路由器一年的Cisco SmartNet支持费用来说还要便宜。如果你选用更新,更小,更便宜的路由器,还能节省下更多的金钱。如果你不得不为旧式路由器购买IOS升级,我建议你忘掉这个想法——买台全新路由器还要更便宜些。

使用Cisco的老式IOS包,你不得不自行选择需要的功能集。新包装已经被简化了。任何具有高级安全功能集及以上的,都具有IPsec VPN和IOS防火墙能力。绝大多数更新更小的路由器,比如1800和2800系列路由器,都携带有一个最小化高级安全功能集,所以你的机器从盒子里拿出来就已经是万事俱备了。

IPSec如何在Cisco路由器上工作

图A给出了一个IPSec在Cisco路由器上工作的简化视图。两台路由器建立了一个虚拟的IPSec信道,彼此之间使用公用的运算规则和参数。红色通信表示是直接穿越路由器去往Internet的,而不通过VPN信道。绿色通信则表示是经由IPsec VPN信道,从一个网站传往另一个网站的通讯。

图A

了解这个流程图很重要,可以知道数据从哪里进入路由器,并进行默认网关路由后,进入外部接口。一旦数据到达外部接口,它会检查源,目标,以及该通讯的服务,以确认它是否需要进入crypto map.在图A中的crypto map使用一个拓展ACL,叫做“Crypto-list(加密到列表)”。你可以看到这个拓展ACL在我们的IPSec模版中被使用。

适合Cisco IOS的IPSec模版

要开始我们的IPSec模版,你需要从这里下载(http: //downloads.techrepublic.com.com/abstract.aspx?docid=265619)。下载了Excel文件后,你需要把变量表中的黄色区域填好。点“替换(Replace)”按钮,它会在一个名为“IPSEC-1”的新表中生成适当的IPSec配置。完成后,你只需要从Excel中拷贝并粘贴到Cisco CLI(命令行接口)中即可。你可以直接从Excel中拷贝到一个Telnet或SSH会话中,甚至是拷贝到控制台端口中。

站长资讯网
. TAG: cisco IOS IPSec VPN

查看[在Cisco IOS上部署IPSec VPN]所有评论
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码:
推荐内容最近更新人气排行
关于我们 | 友情链接 | 网址推荐 | 常用资讯 | 网站地图 | RSS | 网站留言