Cisco路由器EasyVPN的配置(Cisco路由器EasyVPN的配置)
Cisco路由器EasyVPN的配置(Cisco路由器EasyVPN的配置)实验参考拓扑3、软件工具:Cisco PT 5.3-6.0、Windows XP/7/10 操作系统。实验环境1、PC 机1台、服务器 1 台;2、思科 2811 路由器4 台;
大家好,今天我们来学习交流一下Cisco路由器Easy VPN的配置。
通过本文实验,主要了解为以下几点
1、掌握如何在路由器上配置 Easy VPN。
2、掌握 VPN Client 的使用。
实验环境
1、PC 机1台、服务器 1 台;
2、思科 2811 路由器4 台;
3、软件工具:Cisco PT 5.3-6.0、Windows XP/7/10 操作系统。
实验参考拓扑
Cisco路由器Easy VPN的配置
实验内容
本项目中路由器 ISP 模拟 Internet,思科路由器 Remote模拟出差员工所在的酒店,酒店通常会采用 NAT 实现上网, 路由器 Enterprice和 Center 模拟企业内部网络; 要求实现员工在外地酒店内能够和企业总部的网通信,员工的笔记本上要安装 VPN客户端软件。
实验参考步骤
(1)IP 地址及路由配置
在 4台路由器上配置 IP地址,测试各直接链路的连通性,并配置路由和 NAT
Remote(config)#ip route 0.0.0.0 0.0.0.0 serial0/0/0
Enterprise(config)#ip route 0.0.0.0 0.0.0.0 serial0/0/0
在企业总部内部配置 RIPv2路由协议
Enterprise(config)#router rip
Enterprise(config-router)#version 2
Enterprise(config-router)#no auto-summary
Enterprise(config-router)#network 172.16.0.0
Enterprise(config-router)#redistribute static //把静态路由发布给路由器Center,静态路由包含了默认路由以及 VPN客户连通后自动产生的主机路由
Center(config)#router rip
Center(config-router)#version 2
Center(config-router)#no auto-summary
Center(config-router)#network 172.16.0.0
酒店通常会使用 NAT 上网
Remote(config)#iinterface serial0/0/0
Remote(config-if)#ip nat outside
Remote(config)#iinterface fastethernet0/0
Remote(config-if)#ip nat inside
Remote(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Remote(config#ip nat inside source list 1 serial0/0/0 overload
在笔记本上配置 IP 地址为 192.168.1.2/24,网关为:192.168.1.1,测试能够 ping 通模拟 VPN网关的路由器 Enterprise(218.30.1.2)。
(2)在路由器 Enterprise上配置 Easy VPN
1)定义 isakmp(Internet 安全关联和密钥管理协议 ( 第一阶段 IPSEC)
Enterprise(config)#crypto isakmp policy 1 //定义 isakmp策略
Enterprise(config-isakmp)#encrytions 3des //配置 isakmp 采用什么加密算法,可以选择 DES、3DES 和 AES
Enterprise(config-isakmp)#hash md5 //配置 isakmp 采用什么 HASH 算法,可以选择 MD5和 SHA
Enterprise(config-isakmp)#authentication pre-share // 配置 isakmp 采用什么身份认证算法,这里采用预共享密码进行认证。
Enterprise(config-isakmp)#group 2 //配置isakmp采用什么密钥交换算法。可选择 1、2和 5,2表示使用客户端软件进行登录
2)设置推送到客户端的组策略
Enterprise(config)#ip local pool REMOTE-POOL 172.16.100.1 172.16.100.254 //定义 IP 地址池,用于向 VPN客户分配 IP 地址
3)定义组策略
Enterprise(config)#crypto isakmp client configuration group VPN-REMOTE-ACCESS //创建一个组策略,组名为:VPN-REMOTE-ACCESS,要对该组的属性进行设置
Enterprise(config-isakmp-group)#key 123 //设置组的密码
Enterprise(config-isakmp-group)#pool REMOTE-POOL // 配置该组的用户将采用的 IP 地址池
4)启用 AAA 功能及授权
Enterprise(config)#aaa new-model //启用 AAA 功能
Enterprise(config)#aaa authorization network VPN-REMOTE-ACCESS local //定义在本地进行授权
5)指定授权方式
Enterprise(config)#crypto map CLIENTMAP isakmp authorization list VPN-REMOTE-ACCESS //指明 isakmp的授权方式
Enterprise(config)#crypto map CLIENTMAP client configuration address respond //配置当用户请求 IP 地址时就响应地址请求
6)定义交换集 (第二阶段 IPSEC)
Enterprise(config)#crypto ipsec transform-set VPNTRANSFORM esp-3des esp-md5-hmac //定义一个交换集
7)定义加密图
Enterprise(config)#crypto dynamic-map DYNMAP 1 //创建一个动态加密图,加密图之所以是动态,是因为无法预知客户端的 IP 地址
Enterprise(config-crypto-map)#set transform-set VPNTRANSFORM //指明加密图的交换集
Enterprise(config-crypto-map)#reverse-route //反向路由注入
Enterprise(config)#crypto map CLIENTMAP 1 ipsec-isakmp dynamic DYNMAP //把动态加密图应用到静态加密图,因为接口下只能应用静态加密图
8)配置认证方式
Enterprise(config)#aaa authentication login VPNUSERS local //定义一个认证方式,用户名和密码在本地
Enterprise(config)#username vpnuser secret cisco //定义一个用户名和密码
Enterprise(config)#crypto map CLIENTMAP client authentication list VPNUSERS //指明采用之前定义的认证方式对用户进行认证
9)应用静态加密图
Enterprise(config)#interface serial0/0/0
Enterprise(config-if)#crypto map CLIENTMAP //在接口上应用静态加密图
实验常见问题
(1)Easy VPN是 Cisco 独有的远程接入 VPN技术。Easy VPN是在 Ipsec VPN 建立的两个阶段(IKE 阶段和 IPSEC阶段)之间多了一个阶段(用户认证阶段等)。
(2)程VPN接入技术,常见的有 PPTP,L2TP,Easy VPN以及 SSL VPN。