easyvpn
easyvpn定義EzVPN根據easy vpn的讀音簡寫而來,是cisco的一個遠程VPN技術,他使用向客戶端推送策略的方式大大減輕了客戶端的配置,方便了管理。
easyvpn配置步驟
注意:1,在做本實驗的時候,請把VPNclient軟體放在虛擬機的PC裡邊,如果是用本機來做remote VPN客戶端,很可能只能ping到公網,不能ping通區域網路用戶,實驗是不能成功。
2,由於本實驗兩個VPN網關都存在NAT穿越,所以在定義轉換集的時候最好不要用AH認證。因為NAT穿越會修改源目地址。
配置:
ezvpnserver#show run
hostname R1
aaa new-model//開啟AAA
aaa authentication login ccie local/AAA登入本地認證
aaa authorization network ccie local/AAA網路接入本地授權
ip cef
no ip domain lookup
username cisco password 0 cisco/本地認證授權資料庫賬戶
crypto isakmp policy 10/定義IKE策略-第一階段
encr 3des
hash md5/對於軟體客戶端必須要用MD5
authentication pre-share
group 2
crypto isakmp client configuration group client/配置客戶端推送策略
key ccnp
dns 202.1.1.1
domain zengfei
pool pool
acl 101/隧道分離ACL
save-password/保存密碼,客戶可以不必每次開啟時輸入驗證信息
netmask 255.255.255.0
crypto ipsec transform-set myset esp-3des esp-sha-HMAC /定義轉換集,IKE 1.5階段
crypto dynamic-map map 10/由於遠程用戶是移動的,所以要定義動態MAP
set transform-set myset
reverse-route/開啟反向路由注入,指向動態分配客戶端網路的地址,下一跳為vpn peer地址
crypto map mymap client authentication list ccie/定義加密圖,IKE第二階段
crypto map mymap isakmp authorization list ccie
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic map
interface Loopback0
ip address 192.168.2.1 255.255.255.0
ip nat inside
interface Loopback1
ip address 192.168.6.1 255.255.255.0
!
interface FastEthernet0/0
ip address 202.1.1.1 255.255.255.0
ip nat outside
crypto map mymap/接口下套用加密圖
ip local pool pool 192.168.5.1 192.168.5.10/定義本地為遠程用戶自動分配的地址池範圍。
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/總部一條指向公網的默認路由
ip nat inside source list 102 interface FastEthernet0/0 overload區域網路用戶PAT
Access-list 102 deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 102 permit ip any any/PAT轉換除了vpn之間的兩個網段不用NAT轉換。
internet配置:
hostname R2
ip cef
no ip domain lookup
interface FastEthernet0/0
ip address 202.1.1.2 255.255.255.0
interface FastEthernet0/1
ip address 202.1.2.1 255.255.255.0
客戶端網關:
R3#show run
hostname R3
ip cef
no ip domain lookup
interface FastEthernet0/0
ip address 192.168.4.1 255.255.255.0
ip nat inside
interface FastEthernet0/1
ip address 202.1.2.2 255.255.255.0
ip nat outside
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit 192.168.4.0 0.0.0.255
