EasyNLP 硬件要求_用户认证

EASY-×××的配置

EASY-×××是思科私有的协议,所有在华3、锐捷都用不了。
×××S(config)#inter f0/0 //设置接口IP
×××S(config-if)#ip add 200.1.1.1 255.255.255.0
×××S(config-if)#no shut
×××S(config)#ip local pool ***-pool 10.0.1.100 10.0.1.150 //定义一个地址池,类似DHCP
×××S(config)#aaa new-model  //定义AAA认证
×××S(config)#aaa authorization network ***-acc local //对本地用户授权
×××S(config)#aaa authentication login ***users local //对本地用户认证
×××S(config)#username shaowei password shaowei //创建本地用户,用于登陆×××
×××S(config)#crypto isakmp enable //设置IKE认证
×××S(config)#crypto isakmp policy 1 //优先级别1,最高
×××S(config-isakmp)#authentication pre-share //
×××S(config-isakmp)#encryption 3des //设置封装格式为3DES
×××S(config-isakmp)#group 2 //1024比特的密钥,easy***只能选group2 
×××S(config-isakmp)#exit
×××S(config)#crypto isakmp client configuration group ***-acc //设置组策略,×××-ACC为以后登陆×××的组名
×××S(config-isakmp-group)#key 123456 //设置组密钥
×××S(config-isakmp-group)#? //这类似于DHCP给客户机分配DNS,掩码之类,模拟器很多支持不了
  exit     Exit from ISAKMP client group policy configuration mode
  key      pre-shared key/IKE password
  netmask  netmask used by the client for local connectivity
  no       Negate a command or set its defaults
  pool     Set name of address pool
×××S(config-isakmp-group)#pool ***-pool //调用地址池,要跟上面所设置的名字一样,给客户机分配内网IP
×××S(config-isakmp-group)#exit
×××S(config)#crypto ipsec transform-set ***sec esp-3des esp-sha-hmac //创建转换集名字:×××SEC,加密方式3DES,进行哈希
×××S(config-crypto-map)#reverse-route //反向路由注入
×××S(config-crypto-map)#exit
×××S(config)#crypto dynamic-map mymap 1 //创建动态加密图,这个很重要,以后应用在接口上的
×××S(config)#crypto map mymap client configuration address respond //配置路由器响应模式配置的请求
×××S(config)#crypto map mymap client authentication list ***users //调用本本地用户认证列表
×××S(config)#crypto map mymap isakmp authorization list ***-acc //这个是把我们刚才配置的IKE组策略应用上
×××S(config)#inter f0/0 //把动态加密图应用到接口上
×××S(config-if)#crypto map mymap

 


EasyNLP 硬件要求_用户认证_02

总结:前后关系非常重要,这个是一层套接一层的,稍有差错可能就无法提供服务。IP地址池是分配给远程用户的内网地址,AAA认证是提供本地用户的认证,给远程用户提供帐户信息的,IKE组策略是远程用户登陆的所在的组,包括登陆组的密码,给登陆该组的用户指定DNS/WIN信息,类似DHCP,并定义了加密类型。动态加密图,就我理解,就是把那些拥护列表与哪些IKE组策略对应起来,因为很多情况一个公司的×××组可能很多,有不同权限,他们是动态的,可以给他们更换不同的组策略或者用户列表。

https://blog.51cto.com/wei91/881209