全面讲述动态IP地址实现VPN关键命令

安全
利用Internet出口线路建立动态IP地址实现VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的VPN,需要至少一端使用静态的IP地址。

全面讲述动态IP地址实现VPN关键命令,现在家家户户都有了自己的电脑,了解动态IP地址实现VPN设置,动态IP地址实现VPN设置,VPN设置会更方便的让你体会到互联网的精彩世界。

利用Internet出口线路建立动态IP地址实现VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的VPN,需要至少一端使用静态的IP地址。当前很多公司都通过ADSL方式上网,如果要求电信提供静态地址,费用将会大大增加(如深圳512K固定IP的ADSL月租是RMB5000)。

现在CiscoIOS12.3(4)T中新增了根据DNS名称来建立VPNpeer的命令,借助希网(3322.org)、88ip等动态域名解释系统的配合,可以在VPN两端都使用动态地址的ADSL线路,节省大笔费用。

动态IP地址实现VPN关键命令:
setpeer{host-name[dynamic]|ip-address}

动态IP地址实现VPN说明:
host-name指定IPSecpeer的DNS主机名称,如:myhost.example.com。
dynamic(可选参数)指定IPSecpeer的主机名在需要建立IPSec通道的时候才通过DNS服务器解释为IP地址。
ip-address直接给出IPSecpeer的IP地址(传统的配置方式)。

实际环境中局域网内应在一台机器上运行动态域名解释客户端程序,以将主机名nbo.3322.org注册到服务器,注册地址是路由器的外网端口地址。

动态IP地址实现VPN配置:
VPN-1(省略了部分无关配置):
version12.3
!
hostnamevpn-1
!
aaanew-model
!
aaaauthenticationloginauthengroupradiuslocal
aaaauthorizationnetworkauthorlocal
aaasession-idcommon
ipsubnet-zero
!
ipcef
ipname-server202.96.134.133
!
cryptoisakmppolicy10
authenticationpre-share
group2
cryptoisakmpkeyciscoaddress0.0.0.00.0.0.0
!
cryptoipsectransform-sets2sesp-desesp-sha-hmac
!
cryptodynamic-mapdymap1
settransform-sets2s
matchaddress110
!
cryptomapmymap1ipsec-isakmpdynamicdymap
!
interfaceFastEthernet0/0
descriptionVPN
ipaddress202.11.22.11255.255.255.248
ipnatoutside
cryptomapmymap
!
interfaceFastEthernet0/1
descriptionINSIDE_GATEWAY
ipaddress172.16.10.110255.255.0.0
ipnatinside
!
ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload
ipclassless
iproute0.0.0.00.0.0.0FastEthernet0/0
noiphttpserver
!
access-list110permitip172.16.0.00.0.255.255172.30.1.00.0.0.255
access-list120denyip172.16.0.00.0.255.255172.30.1.00.0.0.255
access-list120permitip172.16.0.00.0.255.255any
route-mapnonatpermit10
matchipaddress120
!
end

动态IP地址实现VPNVPN-2(省略了部分无关配置):

version12.3
!
hostnamevpn-2
!
usernamemizepassword0http://mize.netbuddy.org
noaaanew-model
ipsubnet-zero
!
ipcef
ipname-server202.96.134.133
!
cryptoisakmppolicy1
authenticationpre-share
group2
cryptoisakmpkeyciscohostnamenbo.3322.org
!
cryptoipsectransform-sets2sesp-desesp-sha-hmac
!
cryptomapmymap10ipsec-isakmp
setpeernbo.3322.orgdynamic
settransform-sets2s
matchaddress110
!
interfaceFastEthernet0/0
ipaddress202.11.22.43255.255.255.248
ipnatoutside
cryptomapmymap
!
interfaceFastEthernet0/1
ipaddress172.30.1.1255.255.255.0
ipnatinside
!
ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload
ipclassless
iproute0.0.0.00.0.0.0FastEthernet0/0
!
access-list110permitip172.30.1.00.0.0.255172.16.0.00.0.255.255
access-list120denyip172.30.1.00.0.0.255172.16.0.00.0.255.255
access-list120permitip172.30.1.00.0.0.255any
route-mapnonatpermit10
matchipaddress120
!
end

动态IP地址实现VPN相关调试命令:
showcryisasa
showcryipsecsa

责任编辑:佟健 来源: chinaunix
相关推荐

2009-12-28 13:09:36

MPLS VPN技术

2009-12-30 13:50:44

IP-VPN

2022-03-04 14:32:01

命令行IP 地址Linux

2010-03-10 17:37:48

Linux磁盘配额

2009-10-23 19:11:32

linux集群

2009-12-18 16:08:17

Fedora proc

2009-10-10 09:43:10

2009-12-23 14:43:25

Fedora GCC

2009-12-31 16:01:35

Ubuntu ISO

2009-06-09 10:37:09

2009-12-16 10:08:05

2009-11-23 17:25:44

Cisco路由器端口

2010-03-10 14:04:35

Linux端口安全

2009-09-27 10:46:30

C#控件数组

2009-10-20 10:48:27

综合布线系统

2009-12-31 10:28:20

VPN配置实例

2010-01-04 10:10:00

2009-12-22 14:54:37

Fedora 12正式

2009-10-23 16:58:12

2010-03-16 19:46:14

Java线程函数
点赞
收藏

51CTO技术栈公众号