VPN用一致的策略和密钥管理方式在单一的部署中可以整合...

EasyVPN配置概述：CiscoEasyVPN用一致的策略和密钥管理方式在单一的部署中可以整合所有的EasyVPNRemote设备（Cisco路由器、CiscoPIX防火墙、CiscoVPN3002硬件客户端或软件客户端）这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。拓扑图：Internet61.61.61.x/24公网路由OSPFR1:ServerR5:InternetR3:硬件ClientR4R2:PAT网关路由器PC:软件Client1.1.1.13.3.3.3实验目的：通过使用EasyVPN技术来实现，远程客户端的用户能够直接访问到服务器端内部网络，简单来说就是客户端PC能ping通服务器端内部的IP地址，并能通过IE浏览R5上面的WEB服务器主页。1、配置好Server端以后使用硬件路由器作为Client，以实现我们的远程访问。2、配置好Server端以后使用软件作为Client，以实现我们的远程访问。3、使用Tunnel分割模式，记我们与Server端联上去以后又能访问其他的公共网络。实验配置及步骤：一、这里将配置一些基本的连通性和一个基本的配置命令，并用ping测试。R1的基本配置：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config)#noipdoloR1(config)#linecon0R1(config-line)#loggsynR1(config-line)#exec-timeout00R1(config-line)#exitR1(config)#intfa0/0R1(config-if)#ipadd61.61.61.1255.255.255.0R1(config-if)#noshutR1(config-if)#exitR1(config)#intlo0R1(config-if)#ipadd1.1.1.1255.255.255.0R1(config-if)#noshutR1(config-if)#exitR1(config)#iproute0.0.0.00.0.0.0fa0/0R1(config)#routerospf110R1(config-router)#router-id110.0.0.1R1(config-router)#net61.61.61.00.0.0.255a0R1(config-router)#exitR2的基本配置：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#noipdoloR2(config)#linecon0R2(config-line)#loggsynR2(config-line)#exec-timeout00R2(config-line)#exitR2(config)#intfa0/0R2(config-if)#ipadd2.2.2.1255.255.255.0R2(config-if)#noshutR2(config-if)#exitR2(config)#ints1/1R2(config-if)#ipadd24.0.0.2255.255.255.0R2(config-if)#noshutR2(config-if)#exitR2(config)#access-list1permit2.2.2.00.0.0.255R2(config)#ipnatpoolnat24.0.0.224.0.0.2netmask255.255.255.0R2(config)#ipnatinsidesourcelist1poolnatoverloadR2(config)#intfa0/0R2(config-if)#ipnatinsideR2(config-if)#ints1/1R2(config-if)#ipnatoutsideR2(config-if)#exitR2(config)#iproute0.0.0.00.0.0.0s1/1R2(config)#routerospf110R2(config-router)#router-id110.0.0.2R2(config-router)#net24.0.0.00.0.0.255a0R2(config-router)#exitR3的基本配置：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#noipdoloR3(config)#linecon0R3(config-line)#loggsynR3(config-line)#exec-timeout00R3(config-line)#exitR3(config)#intfa0/0R3(config-if)#ipadd61.61.61.3255.255.255.0R3(config-if)#noshutR3(config-if)#exitR3(config)#intlo0R3(config-if)#ipadd3.3.3.3255.255.255.0R3(config-if)#noshutR3(config-if)#exitR3(config)#iproute0.0.0.00.0.0.0fa0/0R4的基本配置：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR4R4(config)#noipdoloR4(config)#linecon0R4(config-line)#loggsynR4(config-line)#exec-timeout00R4(config-line)#exitR4(config)#ints1/0R4(config-if)#ipadd24.0.0.4255.255.255.0R4(config-if)#noshutR4(config-if)#exitR4(config)#intfa0/0R4(config-if)#ipadd61.61.61.4255.255.255.0R4(config-if)#noshutR4(config-if)#exitR4(config)#routerospf110R4(config-router)#router-id110.0.0.4R4(config-router)#net24.0.0.00.0.0.255a0R4(config-router)#net61.61.61.00.0.0.255a0R4(config-router)#exitR4(config)#R5的基本配置：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR5R5(config)#noipdoloR5(config)#linecon0R5(config-line)#loggsynR5(config-line)#exec-timeout00R5(config-line)#exitR5(config)#intfa0/0R5(config-if)#ipadd61.61.61.5255.255.255.0R5(config-if)#noshutR5(config-if)#exitR5(config)#intlo0R5(config-if)#ipadd5.5.5.5255.255.255.0R5(config-if)#noshutR5(config-if)#exitR5(config)#routerospf110R5(config-router)#router-id110.0.0.5R5(config-router)#net61.61.61.00.0.0.255a0R5(config-router)#net5.5.5.00.0.0.255a0R5(config-router)#exitR5(config)#linevty04R5(config-line)#nologinR5(config-line)#exitR5(config)#现在在PC上面测试一下看看NAT做成功没有！从上图可看R2上的NAT配置已经起效现在我们开始EasyVPNServer端的配置：路由器的AAA配置：R1(config)#usernameciscopasswordciscoR1(config)#aaanew-modelR1(config)#aaaauthenticationloginLOGINnoneR1(config)#linecon0R1(config-line)#loginauthenticationLOGINR1(config-line)#exitR1(config)#linevty04R1(config-line)#loginauthenticationLOGINR1(config-line)#exitEZVPN的aaa配置，两个list（认证list和授权list）。一个是X-auth的认证list；一个是modeconfiguration的授权list，也就是推送哪些策略给client，也可理解为给client受权。注意都是本地的，并且稍后设置的组也是本地的。R1(config)#aaaauthenticationloginRemote-AccesslocalR1(config)#aaaauthorizationnetworkvpn-grouplocalR1(config)#iplocalpoolRemote-Pool172.16.1.1172.16.1.100R1(config)#cryptoisakmpenableR1(config)#cryptoisakmpkeepalive2010R1(config)#cryptoisakmppolicy10R1(config-isakmp)#authenticationpre-shareR1(config-isakmp)#encryption3desR1(config-isakmp)#group2R1(config-isakmp)#hashmd5R1(config-isakmp)#lifetime86400R1(config-isakmp)#exit进入1.5阶段，在本地定义group的名以及组策略也就是modeconfiguration的策略：R1(config)#cryptoisakmpclientconfigurationgrouptestR1(config-isakmp-group)#keyciscoR1(config-isakmp-group)#poolRemote-PoolR1(config-isakmp-group)#?ISAKMPgrouppolicyconfigcommands:access-restrictRestrictclientsinthisgrouptoaninterfaceaclSpecifysplittunnelinginclusionaccess-listnumbegroup-lockEnforcegrouplockfeatureR1(config-isakm

VPN用一致的策略和密钥管理方式在单一的部署中可以整合...

免费阅读已结束，点击付费阅读剩下 ... 页

阅读已结束，您可以下载文档离线阅读

(八)建筑机械与临时用电

项目质量控制流程和方法

XXXX年Q3网游行业报告

大数据行业应用展望报告32

2精细化管理手册(第二部分公司、综合部)

某星级酒店电话礼仪培训

立体停车库招标文件投标格式

【案例】——管理学案例分析题15例[1]

人际沟通技能培训

概率论与数理统计6-2估计量的评价标准

相关文档

相关搜索