设为首页收藏本站
开启辅助访问 切换到窄版
搜索
第一问答网»论坛 中问网 问答 教你如何玩转思科Easy VPN

教你如何玩转思科Easy VPN

[复制链接]
查看11 | 回复0 | 2021-1-11 05:29:25 | 显示全部楼层 |阅读模式
  *( Easy VPN为思科私有)
  R1(config)#ip route 0.0.0.00.0.0.0serial0/0
  R3(config)#ip route 0.0.0.00.0.0.0serial0/1
  R3(config)#router rip
  R3(config-router)#version 2
  R3(config-router)#no auto-summary
  R3(config-router)#network 172.16.0.0
  R3(config-router)#redistribute static
  //目的是把静态路由发布给路由器R4,静态路由包含了默认路由以及VPN客户连通后自动产生的主机路由
  R4(config)#router rip
  R4(config-router)#version 2
  R4(config-router)#no auto-summary
  R4(config-router)#network 172.16.0.0
  R1(config)#interface serial 0/0/0
  R1(config)#ip nat outside
  R1(config)#interface fastethernet0/0
  R1(config)#ip nat inside
  R1(config)#access-list 10 permit 10.1.1.00.0.0.255
  R1(config)#ip nat inside source list 10 interface serial0/0 overload
  R3(config)#crypto isakmp policy 1
//定义isakmp策略
  R3(config-isakmp)#encr 3des
  R3(config-isakmp)#hash sha
  R3(config-isakmp)#authentication per-share
  R3(config-isakmp)#group 2 //如果客户端是软件客户端,group只能选择group 2
  以下设置到客户端的组策略:
  R3(config)#ip local pool REMOTE-POOL 172.16.100.1 172.16.100.250
  R3(config)#ip access-list extended EZVPN
  R3(config-exl-nacl)#permit ip 172.16.0.0 0.0.255.255 any
  //定义的列表向客户端指明只发往该网络的数据包才进行加密,而其它流量不要加密,这称为 Split-Tunnel。
  R3(config)#crypto isakmp clent configuration group CISCO-ACCESS //创建一个组策略,组名为CISCO-ACCESS,要对该组的属性进行设置
  R3(config-isakmp-group)#key cisco //设置组的密码
  R3(config-isakmp-group)#pool CISCO //配置该组的用户将采用的IP地址池
  R3(config-isakmp-group)#save-password //允许用户保存组的密码。
  R3(config-isakmp-group)#acl EZVPN//指明Split-Tunnel 所使用的ACL
  R3(config)#aaa new-model //启用AAA功能
  R3(config)#aaa authorization network CISCO-ACCESS local //定义在本地进行授权
  R3(config)#crypto map CLIENTMAP isakmp authorization list CISCO-ACCESS //指明 isakmp的授权方式
  R3(config)#crypto map CLIENTMAP client configuration address respond //配置当用户请求就ip地址时就响应地址请求
  以下定义DPD时间,路由器定时检测VPN会话,如果会话已经有60S没有响应,将被删除。用于防止用户非正常终止会话(eg:注销VPN之前直接断网)。
  R3(config)#crypto isakmp keepalive 60
  以下定义变换集和加密图:
  R3(config)#crypto ipsec transform-set VPNTRANSFORM esp-3des esp-sha-hmac 定义一个变换集
  R3(config)#crypto dynamic-map DYNMAP1
  R3(config-isakmp-map)#set transform-set VPNTRANSFORM
  R3(config-isakmp-map)#reverse-route //创建动态加密图,并指明了加密图的变换集,反向路由注入,加密图之所以要动态,是因为无法预知客户端的IP
  R3(config)#crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP
  //把动态加密图应用到静态加密图,因为接口下只能应用静态加密图
  以下配置Xauth:
  R3(config)#aaa authentication login VPNUSERS local //定义一个认证方式,用户名和密码在本地,路由器网www.ming4.com.
  R3(config)#username vpnuser secret cisco //定义了一个用户名和密码
  R3(config)#crypto map CLIENTMAP client authenticatior list VPNUSERS
  //以上指明采用之前定义的认证方式对用户进行认证
  R3(config)#crypto isakmp xauth timeout 20 设置认证超时时间
  以下在接口上应用静态加密图:
  R3(config)#interface serial0/1
  R3(config-if)#crypto map CLIENTMAP
  在PC上使用Cisco VPN Client客户端进行连接
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

千问

主题

0

回帖

4882万

积分

论坛元老

Rank: 8Rank: 8

积分
48824836
回复楼主 返回列表
热门排行