在路由器上Ezvpn的应用配置

原创

求课 2012-03-31 18:05:51 博主文章分类：网络运维 ©著作权

©著作权归作者所有：来自51CTO博客作者求课的原创作品，请联系作者获取转载授权，否则将追究法律责任

在大中型企业中，往往由于业务的需要，员工需要长期出差办公或者因各方面原因需要在家办公。同时大家又想随时访问公司总部资源，并且，保证数据在传输过程中是保密的，不被第三方截取篡改。种种原因引起我们的思考，由此采用了目前应用的一项安全技术Ezvpn（基于ipsec vpn）。每个远程用户通过cisco vpn client 拨号软件采用不同的用户分发策略，远程连上总公司，访问公司资源。

如下图实验：

R1>en
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#line con 0
R1(config-line)#no exec-t
R1(config-line)#exit
R1(config)#host r1
r1(config)#int f0/0
r1(config-if)#no sh
r1(config-if)#ip add 192.168.1.1 255.255.255.0
r1(config-if)#exit
r1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

r1(config)#
r1(config)#
r1(config)#int lo 0
r1(config-if)#no sh
r1(config-if)#ip add 1.1.1.1 255.255.255.0
r1(config-if)#end
r1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
r1(config)#
r1(config-if)#line vty 0 15
r1(config-line)#password cisco
r1(config-line)#login
r1(config-line)#end
r1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
r1(config)#end
r1#conf t
r1(config)#enable secret 5 cisco
r1(config)#end
=================================R2===================================
R2>en
R2#conf t
R2(config)#line con 0
R2(config-line)#no exec-t
R2(config-line)#exit
R2(config)#host r2
r2(config)#
r2(config)#
r2(config)#int f0/0
r2(config-if)#no sh
r2(config-if)#ip add 192.168.1.2 255.255.255..0
r2(config-if)#int f1/0
r2(config-if)#no sh
r2(config-if)#ip add 23.23.23.2 255.255.255.0
r2(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.3
r2(config)#aaa new-model
r2(config)#aaa authentication login vpn local group radius --定义本地数据库认证
r2(config)#aaa authorization network ezvpn local group radius
r2(config)#username liwenming password 7 liwenming --创建远程vpn用户名和密码
r2(config)#crypto isakmp policy 10 --配置IKE策略
r2(config-isakmp)#en 3des
r2(config-isakmp)#hash sha
r2(config-isakmp)#authentication pre-share
r2(config-isakmp)#group 2
r2(config-isakmp)#exit
r2(config)#ip local pool Ezvpn 192.168.2.1 192.168.2.200 --远程拨号自动地址池
r2(config)#crypto isakmp client configuration group remotevpn --远程客户端用户组策略
r2(config-isakmp-group)#key liwenming
r2(config-isakmp-group)#dns 202.196.209.133
r2(config-isakmp-group)#pool Ezvpn
r2(config-isakmp-group)#domain linweming.com
r2(config-isakmp-group)#exit
r2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
r2(cfg-crypto-trans)#eixt
r2(config)#crypto dynamic-map mymap 1
r2(config-crypto-map)#reverse-route
r2(config-crypto-map)#set transform-set myset
r2(config-crypto-map)#exit
r2(config)#crypto map newmap client configuration add respond
r2(config)#crypto map newmap client authentication list vpn --crypto map 调用定义的认证
r2(config)#crypto map newmap isakmp authorization list ezvpn --crypto map 调用定义的授权
r2(config)#crypto map newmap 1 ipsec-isakmp dynamic mymap
r2(config)#int f1/0
r2(config-if)#cryp
r2(config-if)#crypto map newmap
r2(config-if)#
*Mar 1 01:06:35.375: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
r2(config-if)#exit
r2(config)#end
r2#
r2(config)#
r2(config)#aaa authorization network ezvpn group radius
r2(config)#ip route 1.1.1.1 255.255.255.255 192.168.1.1
r2(config)#end
r2(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any --定义隧道分离
r2(config)#access-list 101 permit ip host 1.1.1.1 any
r2(config)#crypto isakmp client configuration group remotevpn
r2(config-isakmp-group)#acl 101
r2(config-isakmp-group)#end
r2#sh
===============================Internet==================================
R3>en
R3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#line con 0
R3(config-line)#no exec-t
R3(config-line)#exit
r3(config)#host Internet
Internet(config)#int f0/0
Internet(config-if)#no sh
Internet(config-if)#ip add 23.23.23.3 255.255.255.255.0
Internet(config)#int f1/0
Internet(config-if)#no sh
Internet(config-if)#ip add
Internet(config-if)#ip add 34.34.34.3 255.255.255.0
Internet(config-if)#int lo 0
Internet(config-if)#no sh
Internet(config-if)#ipadd 3.3.3.3 255.255.255.0
Internet(config-if)#end
=============================r4=============================================
R4>en
R4#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R4(config)#line con 0
R4(config-line)#no exec-t
R4(config-line)#exit
R4(config)#host r4
r4(config)#int f0/0
r4(config-if)#no sh
r4(config-if)#ip add 34.34.34.4 255.255.255.0
r4(config-if)#int f1/0
r4(config-if)#no sh
r4(config-if)#ip add
r4(config-if)#ip add 45.45.45.4 255.255.255.0
r4(config-if)#
r4(config-if)#
r4(config-if)#exit
r4(config)#ip route 0.0.0.0 0.0.0.0 34.34.34.3
r4(config)#service dhcp
r4(config)#ip dhcp pool Ezvpn
r4(dhcp-config)#net
r4(dhcp-config)#netw
r4(dhcp-config)#network 45.45.45.0 255.255.255.0
r4(dhcp-config)#de
r4(dhcp-config)#default-router 45.45.45.4
r4(dhcp-config)#dns
r4(dhcp-config)#dns-server 202.103.24.68 202.103.44.150
r4(dhcp-config)#exit
r4(config)#ip dhcp excluded-address 45.45.45.4
r4(config)#end
r4(config)#access-list 1 permit any
r4(config)#ip nat inside source list 1 int f0/0 ove
r4(config)#ip nat inside source list 1 int f0/0 overload
r4(config-if)#int f0/0
r4(config-if)#ip nat outside
r4(config-if)#int f1/0
r4(config-if)#ip nat inside

实验调试：

在pc机上通过cisco vpn client连上总部