|
|
利用Internet 出口线路建立VPN通道实现总、分公司之间的互联,是目前许多公司热衷的方案。以往要建立这样的,需要至少一端使用静态的IP地址。当前很多公司都通过ADSL方式上网,如果要求电信提供静态地址,费用将会大大增加(如深圳512K固定IP的ADSL月租是RMB5000)。现在Cio IOS 12.3(4)T中新增了根据DNS名称来建立VPN peer 的命令,借助希网(3322.org)、88ip等动态域名解释系统的配合,可以在两端都使用动态地址的ADSL线路,节省大笔费用。
关键命令:
set peer {host-name [dynamic] | ip-address}
说明:
host-name 指定IPSec peer的DNS主机名称,如:myhost.example.com。
dynamic (可选参数) 指定 IPSec peer 的主机名在需要建立IPSec通道的时候才通过DNS服务器解释为IP地址。
ip-address 直接给出IPSec peer的IP地址(传统的配置方式)。
实际环境中局域网内应在一台机器上运行动态域名解释客户端程序,以将主机名nbo.3322.org注册到服务器,注册地址是器的外网端口地址。
version 12.3
!
hostname -2
!
username mize password 0 http://mize.netbuddy.org
no aaa new-model
ip subnet-zero
!
vpdn enable
vpdn-group pppoe
request-dialin
protocol pppoe
!
ip cef
ip name-server 202.96.134.133
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key cio hostname nbo.3322.org
!
crypto ipsec transform-set s2s esp-des esp-sha-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer nbo.3322.org dynamic
set transform-set s2s
match address 110
!
interface FastEthernet0/0
no ip address
pppoe enable
pppoe-clnt dial-pool-number 1
!
interface dialer 1
ip address negotiated
mtu 1492
encapsulation ppp
ip nat outside
dialer pool 1
ppp authentication pap callin
ppp pap sent-username xxx password xxx
crypto map mymap
!
interface FastEthernet0/1
ip address 172.30.1.1 255.255.255.0
ip nat inside
!
ip nat inside source route-map nonat interface dialer 1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 dialer 1
!
a
1 |
|
发表于 2019-4-12 10:33:38
