这是Lab第3部分,验证三种不同的IPSec VPN身份验证方法:预共享密钥,RSA密钥和CA。前两部分已在以前的帖子中列出。这是最后一部分 - 外部CA。

思科 IOU IPSec站点网站VPN与预共享密钥,RSA键或CA 1

思科 IOU IPSec站点网站VPN与预共享密钥,RSA键或CA 2

这次,我将使用CA签名证书在两个Cisco路由器之间构建IPSec站点到站点VPN。拓扑与以前相同,iOS信息如下:

--------------

r2#shver
思科 IOS软件,2600软件(C2691-ADVSECURITYK9-M),版本12.4(11)T2,发布软件(FC4)
Technical Support: http://www.cisco.com/techsupport
思科 Systems,Inc。的版权所有(c)1986-2007
由prod_rel_team编译Monr-07 16:48 16:48

ROM:Rommon仿真微码
ROM:2600软件(C2691-AdvsecurityK9-M),版本12.4(11)T2,发布软件(FC4)

r2正常运行时间是9分钟
系统通过未知重载原因返回到ROM - 嫌疑标识_data [boot_count] 0x0,boot_count 0,bootdata 19
系统在2012年2月28日22:40:33重新启动
System image file is “tftp://255.255.255.255/unknown”

本产品包含加密功能,受联合国的影响
国家和地方国家法律管理进出口,出口,转让和
采用。思科加密产品的交付并不意味着
第三方授权导入,导出,分发或使用加密。
进口商,出口商,经销商和用户负责
遵守美国和当地国家法律。通过使用此产品
同意遵守适用的法律法规。如果你不能
遵守美国和当地法律,立即返回此产品。

可以在Cisco加密产品管理思科法律摘要:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

如果您需要进一步的帮助,请通过发送电子邮件联系我们
[电子邮件 protected]

思科 2691(R7000)处理器(修订0.1),内存124928K / 6144K字节。
处理器板ID ZZZZZZZZZZXX
R7000 CPU在160MHz,实现39,Rev 2.1,256KB L2,512KB L3缓存
18个快餐界面
6串行(SYNC / ASYNC)接口
DRAM配置是64位宽,具有奇偶校验。
55k字节的NVRAM。
16384K字节的ATA系统CompactFlash(读/写)

配置寄存器是0x2102

--------------

XCA. 将用于生成CA,R1和R2的私钥和认证。

第1步:使用 XCA. to create a new CA

一个。安装XCA后,使用密码创建新数据库。
湾单击新证书:

 C。更改主题并生成一个新的私钥

 天。单击“确定”以生成新的CA,如下屏幕截图所示。

Step2:为两个路由器创建CSR:

Step3:签署CSR以获得认证:

Step4:使用PKCS#12格式导出认证。您将获得R1.P12和R2.P12文件:

STEP5:将认证导入每个路由器

r1(config)#Crypto PKI TrustPoint CA-VPN
r1(ca-trustpoint)#撤销 - 检查无

r1(config)#Crypto CA Import CA-VPN PKCS12 TFTP:思科

%导入pkcs12 ...
地址或远程主机的名称[]? 1.1.1.1.
源filename [trustpoint]? R1.P12
Reading file from tftp://1.1.1.1/R1.p12
从1.1.1.1加载R1.P12(通过FastEthernet0 / 0):!
[确定 - 1245字节]

crypto_pki:导入pkcs12文件成功

步骤6:验证和测试:

显示Crypto PKI TrustPoints
显示Crypto PKI证书

R2#ping 1.1.1.1源2.2.2.2

键入转义序列以中止。
发送5,100字节ICMP回声为1.1.1.1,超时为2秒:
数据包发送的源地址为2.2.2.2
!!!!!
成功率为100%(5/5),往返Min / AVG / MAX = 4/16/44毫秒
R2#显示Crypto IPSec SA

接口:Serial0 / 0
    Crypto地图标签:P1-P2-MAP,Local Addr 12.1.1.2

   受保护的VRF :(无)
   本地标识(Addr / mask / prot / port):( 2.2.2.0/255.255.255.0/0/0)
   远程识别(Addr / mask / prot / port):( 1.1.1.0/255.255.255.0/0/0)
   Current_Peer 12.1.1.1端口500
     许可,标志= {origin_IS_ACL,}
    #pkts end:9,#pkts加密:9,#pkts digest:9
    #pkts摘要:9,#pkts解密:9,#pkts验证:9
    #pkts压缩:0,#pkts解压缩:0
    #pkts未压缩:0,#pkts compr。失败:0
    #pkts没有解压缩:0,#pkts解压缩失败:0
    #send错误1,#recv错误0

     当地加密终止。:12.1.1.2,远程加密endpt .: 12.1.1.1
     路径MTU 1500,IP MTU 1500,IP MTU IDB Serial0 / 0
     当前的出站SPI:0xCDFDE82C(3455969324)

     inbound esp sas:
      SPI:0xD5799FF1(3581517809)
        变换:ESP-DESEP-SHA-HMAC,
        在使用中设置= {隧道,}
        CONN ID:3,Flow_ID:3,Crypto地图:P1-P2-Map
        SA时间:剩余的钥匙寿命(k / sec):(4603613/2710)
        IV size: 8 bytes
        重播检测支持:Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      SPI:0xCDFDE82C(3455969324)
        变换:ESP-DESEP-SHA-HMAC,
        在使用中设置= {隧道,}
        CONN ID:4,Flow_ID:4,Crypto地图:P1-P2地图
        SA时间:剩余的钥匙寿命(k / sec):(4603613/2709)
        IV size: 8 bytes
        重播检测支持:Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R2#


R2#ping 1.1.1.1源2.2.2.2

键入转义序列以中止。
发送5,100字节ICMP回声为1.1.1.1,超时为2秒:
数据包发送的源地址为2.2.2.2

2月28日23:03:53.243:isakmp:(0):SA请求配置文件(null)
2月28日23:03:53.247:isakmp:为12.1.1.1,对等端口500创建了一个对等结构
2月28日23:03:53.247:isakmp:new peer创建的peer = 0x64937f58 peer_handle = 0x80000004
2月28日23:03:53.251:isakmp:锁定对等结构0x64937f58,用于isakmp_initiator的Refcount 1
2月28日23:03:53.251:isakmp:当地端口500,远程端口500
2月28日23:03:53.255:isakmp:将新节点0设置为qm_idle
2月28日23:03:53.255:isakmp:在调用iSADB_INSERT SA = 6418E444期间找到AVL树中的DUP SA
2月28日23:03:53.259:isakmp:(0):无法启动攻击模式,尝试主模式。
2月28日23:03:53.263:isakmp:(0):没有预先共享的关键,12.1.1.1!
2月28日23:03:53.267:isakmp:(0):构造的NAT-T Vendor-07 ID
2月28日23:03:53.271:isakmp:(0):构造的NAT-T Vendor-03 ID
2月28日23:03:53.271:isakmp:(0):构造的NAT-T Vendor-02 ID
2月28日:03:03:53.275:isakmp:(0):输入= ike_mesg_from_ipsec,ike_sa_req_mm
2月28日23:03:53.275:isakmp:(0):旧状态= IKE_READY NEW State = IKE_I_MM1

2月28日23日:03:53.279:isakmp:(0):开始主模式交换
2月28日23:03:53.283:isakmp:(0):将数据包发送到12.1.1.1 my_port 500 peer_port 500(i)mm_no_state
2月28日23:03:53.283:isakmp:(0):发送IKE IPv4数据包。
2月28日23:03:53.367:isakmp(0:0):收到的数据包从12.1.1.1 DPORT 500 Sport 500 Global(i)mm_no_state
2月28日23:03:53.375:isakmp:(0):输入= ike_mesg_from_peer,ike_mm_exch
2月28日23:03:53.375:isakmp:(0):旧状态= ike_i_mm1新状态= ike_i_mm2

2月28日23:03:53.387:isakmp:(0):处理SA有效载荷。消息ID = 0
2月28日23日:03:53.391:isakmp:(0):proce !!!!
成功率为80%(4/5),往返Min / AVG / MAX = 12/56/140毫秒
R2 #sing供应商ID有效载荷
2月28日:03:03:53.391:isakmp:(0):供应商ID似乎Unity / DPD但主要的245不匹配
2月28日23:03:53.395:isakmp(0:0):供应商ID是NAT-T v7
2月28日23:03:53.395:isakmp:扫描xauth ...
2月28日23:03:53.399:isakmp:(0):检查ISAKMP变换1对优先级的10个政策
2月28日23:03:53.399:isakmp:加密des-cbc
2月28日23:03:53.399:isakmp:hash sha
2月28日23:03:53.403:isakmp:默认组1
2月28日23:03:53.403:isakmp:auth rsa sig
2月28日:03:03:53.403:isakmp:寿命类型为几秒钟
2月28日23:03:53.403:isakmp:0x0 0x1 0x51 0x80的寿命持续时间(VPI)
2月28日23:03:53.403:isakmp:(0):Atts是可以接受的。下一个有效载荷是0
2月28日23:03:53.403:isakmp:(0):处理供应商ID有效载荷
2月28日23日:03:53.403:isakmp:(0):供应商ID似乎Unity / DPD,但主要245个不匹配
2月28日23:03:53.407:isakmp(0:0):供应商ID是NAT-T v7
2月28日:03:53.407:isakmp:(0):输入= ike_mesg_internal,ike_process_main_mode
2月28日23:03:53.407:isakmp:(0):旧状态= ike_i_mm2新态= ike_i_mm2

2月28日23:03:53.411:isakmp(0:0):构建Cert_Req for issuer [电子邮件 protected],cn = iouca.test.com,ou =它,o = gd,st =上,c = ca
2月28日23:03:53.411:isakmp:(0):将数据包发送到12.1.1.1 my_port 500 peer_port 500(i)mm_sa_setup
2月28日23:03:53.411:isakmp:(0):发送IKE IPv4数据包。
2月28日23:03:53.411:isakmp:(0):输入= ike_mesg_internal,ike_process_complete
2月28日:03:53.415:isakmp:(0):旧状态= IKE_I_MM2新态= IKE_I_MM3

2月28日:03:53.507:isakmp(0:0):收到的数据包从12.1.1.1 DPORT 500 Sport 500 Global(i)mm_sa_setup
2月28日23:03:53.515:isakmp:(0):输入= ike_mesg_from_peer,ike_mm_exch
2月28日23:03:53.515:isakmp:(0):旧状态= IKE_I_MM3新状态= IKE_I_MM4

2月28日23:03:53.527:isakmp:(0):处理ke有效载荷。消息ID = 0
2月28日23:03:53.547:isakmp:(0):处理随机载荷。消息ID = 0
2月28日23:03:53.547:isakmp:(1003):处理cert_req有效载荷。消息ID = 0
2月28日23:03:53.551:isakmp:(1003): Peer想要一个CT_X509_Signature Cert
2月28日23日:03:53.555:isakmp:(1003):同行希望证书发布 [电子邮件 protected],cn = iouca.test.com,ou =它,o = gd,st =上,c = ca
2月28日:03:53.555:  选择TrustPoint CA-VPN作为发行人
2月28日23:03:53.555:isakmp:(1003):处理供应商ID有效载荷
2月28日23:03:53.555:isakmp:(1003):供应商ID是统一
2月28日23:03:53.555:isakmp:(1003):处理供应商ID有效载荷
2月28日23:03:53.555:isakmp:(1003):供应商ID是DPD
2月28日23:03:53.555:isakmp:(1003):处理供应商ID有效载荷
2月28日23:03:53.555:isakmp:(1003):与另一个ios盒子说话!
2月28日23:03:53.555:isakmp:(1003):输入= ike_mesg_internal,ike_process_main_mode
2月28日23:03:53.559:isakmp:(1003):旧状态= ike_i_mm4新状态= ike_i_mm4

2月28日23:03:53.567:isakmp:(1003):发送初始联系人
2月28日23:03:53.583:isakmp:(1003):我的ID被配置为IPv4 addr,但addr不在cert!
2月28日23:03:53.583:isakmp:(1003):使用FQDN作为我的ID
2月28日23:03:53.583:isakmp:(1003):sa正在使用id类型id_fqdn进行RSA签名身份验证
2月28日23:03:53.583:isakmp(0:1003):ID有效载荷
        next-payload : 6
        type         : 2
        FQDN名称:R2.GD.com
        protocol     : 17
        port         : 500
        length       : 17
2月28日:03:53.583:isakmp:(1003):总有效载荷长度:17
2月28日23:03:53.587:isakmp(0:1003):构建证书有效载荷 [电子邮件 protected],cn = r2.gd.com,ou = gd,o =它,st = on,c = ca
2月28日23:03:53.591:isakmp:(1003):使用example-VPN TrustPoint的键盘来签名
2月28日23:03:53.643:isakmp:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(i)mm_key_exch
2月28日23:03:53.643:isakmp:(1003):发送IKE IPv4数据包。
2月28日23:03:53.647:isakmp:(1003):输入= ike_mesg_internal,ike_process_complete
2月28日23:03:53.647:isakmp:(1003):旧状态= ike_i_mm4新状态= ike_i_mm5

2月28日23:03:53.811:isakmp(0:1003):收到的数据包从12.1.1.1 DPORT 500 Sport 500 Global(i)mm_key_exch
2月28日23:03:53.819:isakmp:(1003):处理ID有效载荷。消息ID = 0
2月28日23:03:53.819:isakmp(0:1003):ID有效载荷
        next-payload : 6
        type         : 2
        FQDN名称:R1.GD.com
        protocol     : 17
        port         : 500
        length       : 17
2月28日23:03:53.827:isakmp:(0):: peer匹配*无*配置文件
2月28日23:03:53.827:isakmp:(1003):处理证书有效载荷。消息ID = 0
2月28日23:03:53.831:isakmp:(1003):处理CT_X509_Signature Cert
2月28日23日:03:53.863:isakmp:(1003):同伴的pubkey不缓存
2月28日23日:03:53.887:isakmp:(1003):ou =它
2月28日23:03:53.887:isakmp:(0):: peer匹配*无*配置文件
2月28日23:03:53.891:isakmp:(1003):处理SIG有效载荷。消息ID = 0
2月28日23:03:53.895:isakmp:(1003):SA身份验证状态:
        authenticated
2月28日23:03:53.895:isakmp:(1003):SA已被验证12.1.1.1
2月28日23:03:53.899:isakmp:尝试插入PEER 12.1.1.2/12.1.1.1/500/,并成功插入64937F58。
2月28日:03:53.903:isakmp:(1003):输入= ike_mesg_from_peer,ike_mm_exch
2月28日23日:03:53.903:isakmp:(1003):旧状态= ike_i_mm5新状态= ike_i_mm6

2月28日23:03:53.911:isakmp:(1003):输入= ike_mesg_internal,ike_process_main_mode
2月28日23:03:53.911:isakmp:(1003):旧状态= ike_i_mm6新状态= ike_i_mm6

2月28日23:03:53.915:isakmp:(1003):输入= ike_mesg_internal,ike_process_complete
2月28日23:03:53.915:isakmp:(1003):旧状态= ike_i_mm6新状态= ike_p1_complete

2月28日23:03:53.919:isakmp:(1003):开始快速模式交换,M-ID为-1497599522
2月28日23:03:53.923:isakmp:(1003):qm发起人得到spi
2月28日23:03:53.927:isakmp:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(i)qm_idle
2月28日23:03:53.927:isakmp:(1003):发送IKE IPv4数据包。
2月28日23:03:53.931:isakmp:(1003):node -1497599522,输入= ike_mesg_internal,ike_init_qm
2月28日23:03:53.931:isakmp:(1003):旧状态= ike_qm_ready新状态= ike_qm_i_qm1
2月28日:03:53.935:isakmp:(1003):输入= ike_mesg_internal,ike_phase1_complete
2月28日:03:53.939:isakmp:(1003):旧状态= ike_p1_complete new state = ike_p1_complete

2月28日23:03:53.983:isakmp(0:1003):收到的数据包从12.1.1.1 DPORT 500 Sport 500 Global(i)qm_idle
2月28日23:03:53.995:isakmp:(1003):处理哈希有效载荷。消息ID = -1497599522
2月28日23:03:53.995:isakmp:(1003):处理SA有效载荷。消息ID = -1497599522
2月28日23日:03:53.999:isakmp:(1003):检查IPSec提案1
2月28日23:03:53.999:isakmp:转换1,esp_des
2月28日23:03:53.999:isakmp:变换的属性:
2月28日23:03:54.003:isakmp:endaps是1(隧道)
2月28日23:03:54.003:isakmp:sa生命型以秒为单位
2月28日23:03:54.003:isakmp:sa寿命持续时间(基本)3600
2月28日23日:03:54.007:isakmp:千字节的生活类型
2月28日23:03:54.007:isakmp:SA寿命持续时间(VPI)0x0 0x46 0x50 0x0
2月28日23:03:54.011:isakmp:验证者是hmac-sha
2月28日23:03:54.015:isakmp:(1003):ATT是可以接受的。
2月28日23:03:54.019:isakmp:(1003):处理无效载荷。消息ID = -1497599522
2月28日23:03:54.023:isakmp:(1003):处理ID有效载荷。消息ID = -1497599522
2月28日23:03:54.023:isakmp:(1003):处理ID有效载荷。消息ID = -1497599522
2月28日23:03:54.039:isakmp:(1003):创建IPsec SAS
2月28日23:03:54.039:从12.1.1.1到12.1.1.2(f / i)0/0的入口SA
        (Proxy 1.1.1.0至2.2.2.0)
2月28日:03:54.039:具有SPI 0x2F50201E和CONN_ID 0
2月28日23:03:54.039:3600秒的寿命
2月28日23:03:54.039:4608000千字节的寿命
2月28日23:03:54.039:从12.1.1.2到12.1.1.1(f / i)0/0的出口SA
        (Proxy 2.2.2.0至1.1.1.0)
2月28日23:03:54.039:具有SPI 0x9FC207B5和CONN_ID 0
2月28日23:03:54.039:3600秒的寿命
2月28日23:03:54.039:4608000千字节的寿命
2月28日23:03:54.043:isakmp:(1003):将数据包发送到12.1.1.1 my_port 500 peer_port 500(i)qm_idle
2月28日23:03:54.043:isakmp:(1003):发送IKE IPv4数据包。
2月28日:03:54.047:isakmp:(1003):删除节点-1497599522错误错误原因“没有错误”
2月28日23:03:54.051:isakmp:(1003):节点-1497599522,输入= ike_mesg_from_peer,ike_qm_exch
2月28日23:03:54.055:isakmp:(1003):旧状态= ike_qm_i_qm1新状态= ike_qm_phase2_complete

r1#sh运行
建筑配置......

当前配置:5322字节
!
!!上次配置在2012年2月28日22:41:38 UTC Tue
!! NVRAM Config最后在2012年2月28日22:41:39 UTC Tue更新
!
版本12.4
服务时间戳调试DateTime Msec
服务时间戳日志DateTime Msec
没有服务密码加密
!
Hostname R1.
!
启动启动标记
启动端标记
!
!
没有AAA新型号
内存大小IOMEM 5
IP CEF
!
!
!
!
IP域名gd.com
!
MultiLink Bundle-name经过身份验证
!
!
Crypto PKI TrustPoint CA-VPN
 撤销 - 检查无
 rsakeypair CA-VPN
!
!
Crypto PKI证书链CA-VPN
 certificate 02
  308201AB A0030201 0202010100200016 F70D0101 050505050
  6C310B30 09060355 04061302 4341310B 30090603 55040813 024F4E31 0B300906
  0355040A 13024744 310B3009 06035504 0B130249 5431173010603173015060317304
  494F5543 412E7465 73742E63 6F6D311D 301B0609 2A864886 F70D0109 01160E61
  646D696E 40746573 742E636F 6D301E17 0D313230 32323631 32303530 305A170D
  31333032 32363132 30353030 5A306231 0B300906 03550406 13024341 310B3009
  06035504 0813024F 4E310B30 09060355 040A1302 4744310B 30090603 55040B13
  02495431 12301006 03550403 13095231 2E67642E 636F6D31 18301606 092A8648
  86F70D01 09011609 52314067 642E636F 6D30819F 300D0609 2A864886 F70D0101
  01050003 818D0030 81890281 8100CA0A 54AE595E 801B2C6A A17BD53E EB2DCFE2
  6024860B 5129AEDA D47D275E F734EA92 2F10CBC2 F85CCBD0 306AA185 EA754449
  6DF36140 FCC22B15 75F8D037 F937381F 8FA7A21E 58659BD4 CCC1EEA5 5DB1F974
  3B6A7AD5 A7EF3210 3F89ED90 83E5B664 415B2BD9 F897C6C3 5006F5EF AD66476B
  D6612696 70488749 3EF15737 8AF30203 01000130 0D06092A 864886F7 0D010105
  05000381 8100A469 1FCF0C5B 270CFD73 20FBA365 7BF161DD D067D56C AEB9AA75
  A8726E7B D0D98A71 686723A7 3A11FAD5 A270A6D8 ECDABBFE 3508FD2D 98D9363D
  A4C825FE A0316093 25F0B74E FB338E88 A76F9FB8 DCE2AD64 8D36D8BA 6D38A247
  9B41D785 6D6C4568 696B740A EC3564C4 13E6E010 C745D1C2 9BA2C3C7 32DF393B
  0CC89CDB DDB1
  quit
 certificate ca 01
  3082028D 308201F6 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  6C310B30 09060355 04061302 4341310B 30090603 55040813 024F4E31 0B300906
  0355040A 13024744 310B3009 06035504 0B130249 5431173010603173015060317304
  494F5543 412E7465 73742E63 6F6D311D 301B0609 2A864886 F70D0109 01160E61
  646D696E 40746573 742E636F 6D301E17 0D313230 32323631 31343230 305A170D
  32323032 32363131 343230305550406 13024341 310B3009
  06035504 0813024F 4E310B30 09060355 040A1302 4744310B 30090603 55040B13
  02495431 17301506 03550403 130E494F 5543412CS 74657374 2E636F6D 311D301B
  06092A86 4886F70D 01090116 0E61646D 696E4074 65737422 636F6D30 819F300D
  06092A86 4886F70D 01010105 0003818D 00308189 02818100 D9212BBE A32192CA
  8D70EB0E AEDFA75C EA8C9246 2DE029C2 F49437CD 68A642B3 BFE6C8D0 5690A00B
  A1754E59 0D325D14 5559C2B6 1F9E4B25 84833FF8 E6655095 5F1145AF 950F4268
  025A1Bed 963A62AA 8E303097B0 617683AB 1B9F2BC4 795E9FDA 2D75A45B E8189352
  EB6830C2 9DC5ECF6 36FD17E0 229CCF87 57042DE7 1EF0AE67 02030100 01A33F30
  3D300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 14E1EDA6
  1FF8FD33 EAB1F0CE 68A3003C 0A33EB05 D3300B06 03551D0F 04040302 0106300D
  06092A86 4886F70D 01010505 00038181 00878CFA 9EE53C82 9870147C 7CCC2495
  071E6F25 56A5D0BA 94FA3BCE D429E02C 443B1830 762AE21A AAA9A809CA1F534E
  7396AC3B 98983729 08974DB3 849173CC 640F4E48 8A664153 D42987FD CD46874B
  90090B32 36086E9D F39FF6B8 5EB0030D CDD4BEEA 4249C6EB ED09061F 881C7C23
  07CEE9A3 331091C6 7C8F4616 959844E4 85
  quit
!
!
!
!
!
Crypto Isakmp政策10
!
!
Crypto IPSec Transform-Set P2-Transform ESP-DESP-SHA-HMAC
!
Crypto Map P2-Transform 10 IPSec-Isakmp
 set peer 12.1.1.2
 设置变换集P2变换
 匹配地址ACL_VPN.
!
接口环库0.
 IP地址1.1.1.1 255.255.255.0
!
接口Serial0 / 0
 IP地址12.1.1.1 255.255.255.0
 no fair-queue
 clock rate 2000000
 加密地图p2-transform
!
接口FastEthernet1 / 0
 no switchport
 IP地址10.50.2.100 255.255.255.0
!
界面FastEthernet1 / 1
!

接口VLAN1.
 no ip address
!
IP路线0.0.0.0 0.0.0.0 10.50.2.1
IP路线2.2.2.0 255.255.255.0 12.1.1.2
!
!
IP HTTP服务器
没有IP HTTP Secure-Server
!
IP访问列表扩展ACL_VPN
 允许IP 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

!
控制面
!
!
!
线0.
线AUX 0.
线VTY 0 4
!
ntp master
!
结尾

R1#

经过 Jon.

关于“思科IOU IPSec网站VPN与外部第三方CA(XCA)的一个想法 - 第3部分”

发表评论