CISCOeasyvpn详细配置详细配置拓扑基础配置:R1、R2、R3、R5之间互联的接口已经运行OSPF,包含R5环回口Lo0。PC网关指向10.1.1.1(R1的F0/0),R4配置有默认路由,指向192.168.1.1(R3的F0/0)。R5环回口Lo0:10.1.1.1/24模拟互联网任意地址。实验要求1:在R3上部署easyvpn,实现在互联网中任意一台PC能安全的访问R3背后的服务器。R3配置:R3#conftR3(config)#aaanew-modelR3(config)#aaaauthenticationlogindefaultnoneR3(config)#aaaauthenticationloginremot-accesslocalR3(config)#aaaauthorizationnetworkremot-grouplocalR3(config)#usernametestpassword123456R3(config)#R3(config)#R3(config)#R3(config)#R3(config)#cryptoisakmpenableR3(config)#cryptoisakmppolicy10R3(config-isakmp)#authenticationpre-shareR3(config-isakmp)#encryption3desR3(config-isakmp)#group2R3(config-isakmp)#hashmd5R3(config-isakmp)#lifetime86400R3(config-isakmp)#exitR3(config)#R3(config)#批注[l1]:ezvpn要求必须启用AAA批注[l2]:避免无法进行普通登陆批注[l3]:设置Xauth认证方式批注[l4]:设置对ezvpn用户授权方式批注[l5]:Xauth认证帐号批注[l6]:开启isakmp,默认开启批注[l7]:必须为组2批注[l8]:定义isakmp策略CISCOeasyvpn详细配置(config)#R3(config)#R3(config)#iplocalpoolremot-address172.16.1.1172.16.1.10R3(config)#cryptoisakmpclientconfigurationgroupgroup-1R3(config-isakmp-group)#keyciscoR3(config-isakmp-group)#poolremot-addressR3(config-isakmp-group)#domaincisco.comR3(config-isakmp-group)#dns8.8.8.8R3(config-isakmp-group)#max-logins2R3(config-isakmp-group)#max-users100R3(config-isakmp-group)#netmask255.255.255.0R3(config-isakmp-group)#bannerhellobaby!R3(config-isakmp-group)#exitR3(config)#R3(config)#R3(config)#R3(config)#R3(config)#cryptoisakmpprofileMYPROFILE%AprofileisdeemedincompleteuntilithasmatchidentitystatementsR3(conf-isa-prof)#matchidentitygroupgroup-1R3(conf-isa-prof)#clientconfigurationaddressrespondR3(conf-isa-prof)#isakmpauthorizationlistremot-groupR3(conf-isa-prof)#clientauthenticationlistremot-accessR3(conf-isa-prof)#exitR3(config)#R3(config)#cryptoipsectransform-setMYSETesp-3desesp-md5-hmacR3(cfg-crypto-trans)#modetunnelR3(cfg-crypto-trans)#exitR3(config)#R3(config)#cryptodynamic-mapMYMAP10R3(config-crypto-map)#settransform-setMYSETR3(config-crypto-map)#setisakmp-profileMYPRIFILER3(config-crypto-map)#REverse-routeR3(config-crypto-map)#exitR3(config)#R3(config)#cryptomapMYMAP100ipsec-isakmpdynamicMYMAPR3(config)#R3(config)#ints0/0R3(config-if)#cryptomapMYMAPR3(config-if)#endR3#*Mar100:09:52.963:%CRYPTO-6-ISAKMP_ON_OFF:ISAKMPisONR3#批注[l9]:定义客户地址池remot-address批注[l10]:创建组group-1批注[l11]:组密码批注[l12]:分配地址池批注[l13]:推送域名属性批注[l14]:推送DNS服务器IP批注[l15]:最大同时登录数批注[l16]:最大用户数批注[l17]:定义地址池IP的掩码,默认为主类掩码批注[l18]:提示消息批注[l19]:创建profile批注[l20]:匹配组group-1批注[l21]:对客户请求地址进行响应批注[l22]:调用对客户授权方式remot-group批注[l23]:调用对客户认证方式批注[l24]:定义transfor-set批注[l25]:必须为tunnel批注[l26]:创建动态MAP批注[l27]:调用transform-set批注[l28]:调用profile批注[l29]:反向路由注入,让路由器生成一条关于客户IP的32位静态路由。批注[l30]:创建静态MAP,关联动态map批注[l31]:接口下调用静态mapCISCOeasyvpn详细配置接下来在PC上安装CISCOVPNClient,安装过程略。注意安装完成后电脑上会多出一块ciscosystemvpnadapter网卡。我们先查看一下PC的物理网卡(真实的本地网卡)参数和路由参数:可以看到我们配置的网关为10.1.1.1,并且默认路由也指向10.1.1.1。然后配置ciscovpnclientCISCOeasyvpn详细配置配置完之后点conncet,会提示进行Xauthen认证:输入用户名test和密码123456之后会会显示banner信息:点击continue,即可连接VPN服务器,电脑通知区域会显示出一把黄色小锁。在黄色小锁上点击右键,可以查看VPN状态:VPN连接名称,可以自定义VPN描述VPN服务端IP地址VPN组名称:R3(config)#cryptoisakmpclientconfigurationgroupgroup-1VPN组密码:R3(config-isakmp-group)#keyciscoR3(config)#usernametestpassword123456CISCOeasyvpn详细配置我们再次查看PC物理网卡和路由参数:可以看到我们在网卡上配置的网关已经不在,路由表里面的默认路由也从新指向了从server获取到的本地IP地址172.16.1.1。观察VPNserver路由表:CISCOeasyvpn详细配置多了一条指向VPNclient的静态路由。在PC上测试到达的连通性:实验二:利用隧道分离解决客户端无法访问互联网其他资源在PC上pingR5环回口100.1.1.1测试会发现无法ping通。在PC上tracert测试:解决这个问题我们需要用到easyvpn的隧道分离技术。隧道分离,即将需要利用VPN加密的流量和其他流量区分开来,让需要加密的流量走VPN隧道,其他流量按正常转发。R3配置:R3(config)#access-list100permitip192.168.1.00.0.0.255anyR3(config)#cryptoisakmpclientconfigurationgrouptestR3(config-isakmp-group)#acl100在PC上断开VPN连接,重新连接。在PC上观察VPN状态和PC路由表:批注[l32]:用ACL来对需要进行加密的流量进行匹配批注[l33]:组定义里面调用ACLCISCOeasyvpn详细配置可以看到在PC上只有目的为192.168.1.0/24的流量会通过VPN隧道转发,其余流量会经过默认路由通过10.1.1.1来正常转发。分别ping100.1.1.1和192.168.1.2来测试:可以看到,无论是反问VPN内部网络还是互联网资源,我们都能成功访问。以上是基于ciscoeazyvpnclient软件进行可客户端配置。下面主要关注与使用思科IOS作为easyvpnclien进行VPN连接。CISCOeasyvpn详细配置我们把R1作为client,并且在R1上做NAT。R1(config)#cryptoipsecclientezvpnaR1(config-crypto-ezvpn)#peer23.1.1.2R1(config-crypto-ezvpn)#groupgroup-1keyciscoR1(config-crypto-ezvpn)#modeclientR1(config-crypto-ezvpn)#connectmanualR1(config-crypto-ezvpn)#exitR1(config)#ints0/0R1(config-if)#cryptoipsecclientezvpnaR1(config-if)#intf0/0R1(config-if)#cryptoipsecclientezvpnainsideR1(config-if)#exitR1(config)#endR1#cryptoipsecclientezvpnconnect*Mar100:27:39.935:EZVPN(a):PendingXAuthRequest,Pleaseenterthefollowingcommand:*Mar100:27:39.935:EZVPN:cryptoipsecclientezvpnxauthR1#cryptoipsecclientezvpnxauthUsername:testPassword:R1#hellobaby!*Mar100:27:59.363:%CRYPTO-6-EZVPN_CONNECTION_UP:(Client)User=Group=group-1Client_public_addr=12.1.1.1Server_public_addr=23.1.1.2Assigned_client_addr=172.16.1.3*Mar100:28:00.787:%LINK-