//添加×××用户为了能够鉴别用户,需要为远程×××访问的客户设置相应的×××帐号
R1(config)#username [用户名] password [密码]
//aaa:验证,授权,审计
R1(config)#aaa new-model //开启AAA验证
R1(config)#aaa authentication login default local //设置验证管道
R1(config)#aaa authorization network [授权名称] local //设置接受网络连接(PPP),INTERNET连接和串行线路的连接授权
R1(config)#aaa authentication login [验证名称] local //设置本地数据库验证
//配置地址池
R1(config)#ip local pool [地址池名称] [启始地址] [结束地址] //建立一个客户端IP地址池
//第一阶段配置
//建立IKE协商
R1(config)#crypto isakmp policy [优先级] //范围:1-10000
R1(config-isakmp)#authentication pre-share //认证方法:预共享密钥
R1(config-isakmp)#encryption 3des //数据算法:加密算法
R1(config-isakmp)#hash sha //完整性算法:hash算法
R1(config-isakmp)#group 2 //DH密钥组:1、2、5
R1(config-isakmp)#exit
R1(config)#access-list 101 permit ip [内网网段] [反掩码] any //允许内网到所有地方
//设置客户端软件验证方法
R1(config)#crypto isakmp client configuration group [验证组名称]
R1(config-isakmp-group)#key [验证密码]
R1(config-isakmp-group)#dns [IP地址] //可选
R1(config-isakmp-group)#domain [域名] //可选
R1(config-isakmp-group)#pool [地址池名称] //设置客户端拨入成功后给分配的地址范围
R1(config-isakmp-group)#acl [访问规则号] //将访问规则应用到验证组
R1(config-isakmp-group)#save-password //保存配置
R1(config-isakmp-group)#exit
//第二阶段配置
/*
*设置隧道变换集
*建立Transform Set
*所谓的transform set其实就是加密方法和认证方法的一种组合
*在建立IPSec SA的时候双方需要协商使用相同的Transform Set以保护数据
*/
R1(config)#crypto ipsec transform-set [变换集名称] esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel //设置为隧道模式
R1(cfg-crypto-trans)#exit
//建立动态映射
R1(config)#crypto dynamic-map [动态映射名称] 10
R1(config-crypto-map)#set transform-set [变换集名称]
R1(config-crypto-map)#reverse-route
//定义加密图
R1(config)#crypto map [加密图名称] client authentication list [验证名称] //客户端验证方法[本地数据库验证]
R1(config)#crypto map [加密图名称] isakmp authorization list [授权名称] //定义所有网络连接(PPP),INTERNET连接和串行线路的连接授权
R1(config)#crypto map [加密图名称] client configuration address respond //响应client分配地址的请求
R1(config)#crypto map [加密图名称] 10 ipsec-isakmp dynamic [动态映射名称]
R1(config)#int e0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#crypto map [加密图名称] //将加密图应用到接口上
R1(config)#int e0/1
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 e0/0 //设置静态路由
转载于:https://blog.51cto.com/quanvip/301729