在总部路由器上做Easy VPN的配置。其配置如下: 1、配置组属性的查询模式 aaa new-model(开启AAA认证)
aaa authentication login eza local (命名eza,对eza进行身份认证) aaa authorization network ezo local(命名ezo,将组的查询模式设置为在本地查询AAA)
username tang password 123(创建用户名密码)
说明:路由器上AAA为EzVPN的必配部分,定义本地用户数据库认证,并创建了本地用户名tang以及密码123 2、配置IKE(ISAKMP)策略
crypto isakmp policy 10(Ipsec 阶段一的安全参数配置) encryption 3des hash md5
authentication pre-share group 2 exit
3、定义EzVPN client连接上来后自动分配的地址池
ip local pool ez 192.168.2.1 192.168.2.10(Easy VPN 接入后所分配的地址) 4、配置用户组策略
每个连接上来的EzVPN client都与一个用户组相关联,如果没有配置特定组,但配置了默认组,用户将和默认组相关联
crypto isakmp client configuration group myez(Easy VPN的组和密码配置) key 123 pool ez
说明:用户组名为myez,该组的密码为123,所有连接上来的client分配的地址池名为ez,即前面定义的地址池,以及其它一些参数。
5、配置IPsec transform
crypto ipsec transform-set tim esp-3des esp-md5-hmac(IPSec阶段二的配置)
(这里的tim为交换集的名字)默认的IPsec mode为tunnel模式,所以我们在这里可以不用配置传输模式
crypto dynamic-map ezmap 10(配置动态加密图) set transform-set tim (tim与ezmap关联)
reverse-route(反向路由注入) exit
6、关联认证信息
crypto map tom client authentication list eza crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond (客户端相应服务器) crypto map tom 10 ipsec-isakmp dynamic ezmap(最后,动态加密图必须有静态绑定)ezmap为动态保密图的名字
说明:以上是对EzVPN的认证,授权配置,list是调用上面的AAA配置名,并且最后,动态加密图必须有静态绑定。这里的tom是客户端保密图的名字。 7、应用crypto map
interface FastEthernet0/1
crypto map tom(绑定到接口)这里的接口为vpn服务器的出口
Easy VPN的测试: 测试如下:
首先,双击笔记本,打开图,选择Desktop,再下面选择command Pormpt,ping一下总部的公网地址100.1.1.2,通了后再ping内部服务器192.168.1.1,此时是ping不通的,因为我们来没Easy VPN 接入。
其次,我们依然选择Desktop下的VPN,依次输入如下信息:
点击connect,就会提示连接上去,此时会显示下发的IP地址。(若没马上连上去,在配置没错的前提下,Ipsec VPN协商时,前面几个包是不通的,解决方法,在ping一下100.1.1.2,再连接Easy VPN)。
GroupName:myez Group key:123
Host IP(server IP):100.1.1.2 Username:tang Password:123
最后,我们访问web服务器,选择Desktop下的Web Browser,输入IP:192.168.1.1即可访问到web服务器.