Easy VPN
Easy VPN是Cisco 独有的远程接入VPN技术。Easy VPN是在Ipsec VPN建立的两个阶段(IKE阶段和IPSEC阶段)之间多了一个2.5阶段(用户认证阶段等)。远程接入VPN的常用作用是为外出办公提供很好接入技术。远程VPN接入技术,常见的有PPTP,L2TP,Easy VPN以及SSL VPN等。
实验的基本思路:一台路由器做总部VPN网关,一台路由模拟Internet网(就是没私有IP路由的路由器),一台路由路模拟能上Internet网的路由器(也就是做了NAT上网)。外出移动办公的笔记本通过能上Internet网的路由器Easy
VPN连接到总部,并访问总部的web服务器。
实验拓扑:
IP地址规划如下:
总部服务器:192.168.1.1、24
总部路由器:fa 0/0 192.168.1.254/24
fa 0/1 100.1.1.2/24
Internet网路由器:fa 0/1 100.1.1.1/24
fa 0/0 200.1.1.1/24
远端路由器:fa 0/0
200.1.1.2/24
fa 0/1 172.16.1.254/24
办公笔记本:172.16.1.1、24
实验的基本配置如下:
总部路由器:
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.2 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 100.1.1.1
Internet路由器:
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.1 255.255.255.0
no shutdown
远端路由器的配置:
interface FastEthernet0/0
ip address 200.1.1.2 255.255.255.0
ip nat outside
no shutdown
interface FastEthernet0/1
ip address 172.16.1.254 255.255.255.0
ip nat inside
no
shutdown
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 200.1.1.1
access-list 1 permit 172.16.1.0 0.0.0.255
此时,远端的笔记本能上网,但不能访问总部内的Web服务器。现在在总部做Easy VPN的配置。其配置如下:
aaa new-model(开启AAA认证)
aaa authentication login eza local(命名eza,对eza认证)
aaa authorization network ezo local(命名ezo,对ezo的事件授权)
username tang password 123(创建用户名密码)
crypto isakmp policy 10(Ipsec 阶段一的安全参数配置)
hash md5
authentication pre-share
group 2
ip local pool ez 192.168.2.1 192.168.2.10(Easy VPN 接入后所分配的地址)
crypto isakmp client configuration group myez(Easy VPN的组和密码配置)
key 123
pool ez
crypto ipsec transform-set tim esp-3des esp-md5-hmac(IPSec阶段二的配置)
crypto dynamic-map ezmap 10(动态加密图)
set transform-set tim
reverse-route(反向路由注入)
(以下是对Easy VPN的认证,授权配置,list是调用上面的AAA的配置名)
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap(最后,动态加密图必须有静态绑定)
interface FastEthernet0/1
crypto map tom(绑定到接口)
Easy VPN的测试:
测试如下:
首先,双击笔记本,打开图,选择Desktop,再下面选择command Pormpt,ping一下总部的公网地址100.1.1.2,通了后再ping内部服务器192.168.1.1,此时是ping不通的,因为我们来没Easy VPN 接入。
其次,我们依然选择Desktop下的VPN,依次输入如下信息:
GroupName:myez
Group key:123
Host IP(server IP):100.1.1.2
Username:tang
Password:123
点击connect,就会提示连接上去,此时会显示下发的IP地址。(若没马上连上
去,在配置没错的前提下,Ipsec VPN协商时,前面几个包是不通的,解决方法,在ping一下100.1.1.2,再连接Easy VPN)。
最后,我们访问web服务器,选择Desktop下的Web Browser,输入IP:192.168.1.1即可访问到web服务器.
本文发布于:2024-09-22 10:24:34,感谢您对本站的认可!
本文链接:https://www.17tex.com/fanyi/35535.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |