本文介绍如何配置SKY公司路由器R1以实现通过Easy***拨号访问公司内网的过程。包括配置路由器接口、设置认证策略、定义用户组策略、配置IKE策略等步骤。
试验说明;R1为SKY公司的网关,其F1/0接口连接互联网,用户现在出差在外,通过拨号连接到互联网上,现在希望实现用户通过internet拨号进入SKY公司的R1路由器上,拨号使用easy ***,并能连接到SKY公司的内网,192.168.0.0/24 网段
实验要求;
1,通过cisco *** client 拨上R1,需要ping通R1的网关的地址,
2,×××拨入成功之后,可以ping通 192.168.0.2,能访问内网服务器上的共享资源
实验过程:
第一步 R1预配置
R1(config)#int f0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
// 在本实验中PC机的IP地址是192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms
R1#
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
// 在本实验中PC机的IP地址是192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms
R1#
第二步 配置认证策略
R1#conf t
R1(config)#aaa new-model
// 激活AAA
R1(config)#aaa authorization network ***-client-user local
// 配置对远程接入IPSec连接的授权,组名为***-client-user
第三步 定义用户的组策略
R1(config)#ip local pool ×××DHCP 192.168.0.100 192.168.0.150
// 配置一个内部地址池,用于分配IP地址到远程接入的×××客户端,在本实验中地址池的起始地址为192.168.0.100,终止的IP地址为192.168.0.150,在后面的组策略中会引用改地址池
R1(config)#crypto isakmp client configuration group ***-client-user
// 配置远程接入组,组名为***-client-user,此组名与aaa authorization network命令中的名称一致
R1(config-isakmp-group)#key norvel.com.cn
// 配置IKE阶段1使用预共享密钥,密钥为norvel.com.cn
R1(config-isakmp-group)#pool ×××DHCP
// 配置在客户端连接的Easy ××× client所分配的IP地址池
R1(config-isakmp-group)#dns 221.11.1.67
// 给客户端分配DNS地址
R1(config-isakmp-group)#domain norvel.com.cn
// 配置分配给客户端的DNS域名
R1(config-isakmp-group)#exit
R1(config)#第四步 配置IKE阶段1策略R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config-isakmp)#exit
R1(config)#end
R1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 10
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit第五步 配置动态加密映射R1#conf t
R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des
// 配置名为R1的转换集
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map dy*** 10
// 配置名为dy***的动态加密映射
R1(config-crypto-map)#set transform-set R1
R1(config-crypto-map)#reverse-route
//Reverse-route 生成的两条路由,不配置这条命令,是无法ping内网的设备192.168.0.2
R1(config-crypto-map)#exit第六步 配置静态加密映射R1(config)#crypto map dy*** isakmp authorization list ***-client-user
// 指定应该为远程接入×××连接执行的授权,这里的***-client-user名称必须与aaa authorization network命令中的相同
R1(config)#crypto map dy*** client configuration address respond
// 配置允许路由器将信息分配给远程接入客户端,respond参数使路由器等待客户端提示发送这些信息,然后路由器使用策略信息来回应
R1(config)#crypto map dy*** 1 ipsec-isakmp dynamic dy***
// 配置在静态映射条目中关联动态加密映射第七步 在接口上激活静态加密映射R1(config)#int e1/0
R1(config-if)#crypto map dy***
R1(config-if)# ^Z第八步 在PC机上打开Cisco ××× Client进行配置,点击New创建一个新的×××连接
第九步 在×××连接中进行配置,连接名填写easy***,主机填写××× Server 192.168.1.200,name填写***-client-user,密码填写norvel.com.cn
第十步 测试×××连接,选中easy***,点击Connect
第十一步 连接成功后查看连接的统计信息
在××× R1上查看相关×××信息:
R1#show crypto ipsec sa
转载于:https://blog.51cto.com/cinderella3175/224877
扫一扫
194
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
