Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Vpn-туннель между двумя cisco (http://forum.oszone.net/showthread.php?t=193147)

NADVooDoo 06-12-2010 01:49 1559258
Vpn-туннель между двумя cisco
 
Я полный новичок в настройке этого оборудования. Ну то есть, могу что-то там ввести, но сути это не меняет. Вкратце опишу задание:
Есть 2 офиса, и 2 cisco - одна здоровенная 2821, другая точно не знаю какая, типа того же наверное что-то.
В каждом офисе за циской стоит сервер, а потом локальная сеть. Нужно соединить 2 офиса через VPN-туннель, чтобы еще была возможность входить в локалку удаленным пользователям. Не могли бы вы кинуть рабочие конфиги, чтобы менять чего-то пришлось по-минимому. Ну интерфейсы и ip понятно, я поменяю, и если будете добры может пара рекомендаций. заранее благодарен любому откликнувшемуся!

Telepuzik 06-12-2010 11:04 1559401
NADVooDoo,
Посмотрите основные команды для создания Cisco site to site VPN Configuration Cheatsheet
Часть конфига связанная с настройкой VPN на маршрутизаторе в офисе 1, c использованием парольной фразы для установки соединения:

Код:
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key <парольная фраза> address yy.yy.yy.yy
!
!
crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map TEST 10 ipsec-isakmp
 set peer yy.yy.yy.yy
 set security-association lifetime seconds 28800
 set transform-set 3DES-SHA
 set pfs group2
 match address 100


interface FastEthernet0
 ip address xx.xx.xx.xx 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map TEST

access-list 100 permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
xx.xx.xx.xx - внешний ip в офисе 1
yy.yy.yy.yy - внешний ip в офисе 2
192.168.11.0 - локальная сеть в офисе 1
192.168.10.0 - локальная сеть в офисе 2

QRS 08-12-2010 22:23 1561442
NADVooDoo, в первую очередь нужно проверить, чтобы прошивка Вашего оборудования поддерживла IPSec... версию можно увидеть через "sh ver".
Если в названии есть k9 или advipservices... можно пробовать.

Я пользую не crypto map, а туннель GRE - IPSec (с перспективой DMVPN) + NHRS + EIGRP... если прошивка позволяет (приведите вывод команды), могу дать код.
Если офиса остается всего два, то банального IPSec со статической маршрутизацией будет достаточно...


Время: 18:09.

Время: 18:09.
© OSzone.net 2001-