Cisco 路由器远程拨入×××

//添加×××用户为了能够鉴别用户，需要为远程×××访问的客户设置相应的×××帐号

R1(config)#username [用户名] password [密码]

　 　

//aaa：验证，授权，审计

R1(config)#aaa new-model              //开启AAA验证

R1(config)#aaa authentication login default local          //设置验证管道

R1(config)#aaa authorization network [授权名称] local //设置接受网络连接(PPP),INTERNET连接和串行线路的连接授权

R1(config)#aaa authentication login [验证名称] local  //设置本地数据库验证

　 　

//配置地址池

R1(config)#ip local pool [地址池名称] [启始地址] [结束地址] //建立一个客户端IP地址池

　 　

//第一阶段配置

//建立IKE协商

R1(config)#crypto isakmp policy [优先级]       //范围：1-10000                      

R1(config-isakmp)#authentication pre-share         //认证方法：预共享密钥

R1(config-isakmp)#encryption 3des                          //数据算法：加密算法

R1(config-isakmp)#hash sha                                       //完整性算法：hash算法

R1(config-isakmp)#group 2                                          //DH密钥组：1、2、5

R1(config-isakmp)#exit

　 　

R1(config)#access-list 101 permit ip [内网网段] [反掩码] any //允许内网到所有地方

　 　

//设置客户端软件验证方法

R1(config)#crypto isakmp client configuration group [验证组名称] 

R1(config-isakmp-group)#key [验证密码]

R1(config-isakmp-group)#dns [IP地址]                             //可选

R1(config-isakmp-group)#domain [域名]                          //可选

R1(config-isakmp-group)#pool [地址池名称]                 //设置客户端拨入成功后给分配的地址范围

R1(config-isakmp-group)#acl [访问规则号]             //将访问规则应用到验证组

R1(config-isakmp-group)#save-password                         //保存配置

R1(config-isakmp-group)#exit

　 　

//第二阶段配置

/*

 *设置隧道变换集

 *建立Transform Set

 *所谓的transform set其实就是加密方法和认证方法的一种组合

 *在建立IPSec SA的时候双方需要协商使用相同的Transform Set以保护数据

*/

R1(config)#crypto ipsec transform-set [变换集名称] esp-3des esp-sha-hmac 

R1(cfg-crypto-trans)#mode tunnel                   //设置为隧道模式

R1(cfg-crypto-trans)#exit

　 　

//建立动态映射

R1(config)#crypto dynamic-map [动态映射名称] 10                       

R1(config-crypto-map)#set transform-set [变换集名称]

R1(config-crypto-map)#reverse-route             

　 　

//定义加密图

R1(config)#crypto map [加密图名称] client authentication list [验证名称]  //客户端验证方法[本地数据库验证]

R1(config)#crypto map [加密图名称] isakmp authorization list [授权名称]   //定义所有网络连接(PPP),INTERNET连接和串行线路的连接授权

R1(config)#crypto map [加密图名称] client configuration address respond         //响应client分配地址的请求

R1(config)#crypto map [加密图名称] 10 ipsec-isakmp dynamic [动态映射名称]

　 　

R1(config)#int e0/0

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#crypto map [加密图名称]                                                        //将加密图应用到接口上

 

R1(config)#int e0/1

R1(config-if)#ip address 10.1.1.1 255.255.255.0

 

R1(config)#ip route 0.0.0.0 0.0.0.0 e0/0                                              //设置静态路由

 

转载于:https://blog.51cto.com/quanvip/301729