Easy ***是cisco ios上实现client to site或者remote access *** 的一种特有的形式,通过在服务器上配置复杂的策略和密钥管理,从而简化远端设备的配置和管理,使远程用户能通过internet很容易地接入内网,并实现安全通信。
要配置easy ***并实现通过aaa服务器认证,首先要配置aaa服务器
步骤如下:
一.
aaa new-model ----------在配置模式下新建aaa认证
aaa authentication login “name” group radius
aaa authorization network “neme” group radius
radius-server host ip key ***
二.
配置isakmp策略, SA过程
crypto isakmp policy 10
encr 3des
hash md5
Group 1
authentication pre-share
encr 3des
hash md5
Group 1
authentication pre-share
创建交换集
crypto ipsec transform-set *** esp-des esp-md5-hmac
crypto ipsec transform-set *** esp-des esp-md5-hmac
三.
配置客户端相关参数
ip local pool *** start-ip end-ip
配置客户端访问内网时所分配的临时地址,应为私网地址
crypto isakmp client configuration group *** 客户端用户组
key *** 客户端组与服务器的预共享密钥
pool *** 用户组所引用的地址池(与上面引用的地址池相同)
配置客户端访问内网时所分配的临时地址,应为私网地址
crypto isakmp client configuration group *** 客户端用户组
key *** 客户端组与服务器的预共享密钥
pool *** 用户组所引用的地址池(与上面引用的地址池相同)
第四步 创建动态映射图
crypto dynamic-map *** 10 ------------***指动态映射图的名称
set transform-set *** ------------***指前面所创建的交换集的名称
reverse-route --------------启用反向路由注入
crypto dynamic-map *** 10 ------------***指动态映射图的名称
set transform-set *** ------------***指前面所创建的交换集的名称
reverse-route --------------启用反向路由注入
六. 绑定静态映射图到接口
interface fa 0/1
crypto map tom
interface fa 0/1
crypto map tom
七. 在客户端上验证
打开***客户端,输入
GroupName:*** 组名
Group key:*** 组密钥
Host IP(server IP):*** 服务器IP
Username:*** 用户名
Password:*** 用户密码
打开***客户端,输入
GroupName:*** 组名
Group key:*** 组密钥
Host IP(server IP):*** 服务器IP
Username:*** 用户名
Password:*** 用户密码
转载于:https://blog.51cto.com/lovexiayun/567968