拓扑如下图:
配置步骤如下:
1、首先建立一个地址池,远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池。
ip local pool ***-pool 10.10.99.10-10.10.99.250
2、建立IKE第一阶段。
crypto isakmp policy 30
authentication pre-share
encryption des
hash md5
group 2
lifetime 43200
3、将IKE第一阶段应用在outside接口上面。
crypto isakmp enable outside-CTC
4、定义转换集。
crypto ipsec transform-set my***set esp-des esp-md5-hmac \\my***set为自定义转换集名字
5、动态加密映射配置。
crypto dynamic-map my***-dynamic-map 30 set transform-set my***set \\my***-dynamic-map 为自定义map名
crypto dynamic-map my***-dynamic-map 30 set reverse-route
crypto dynamic-map my***-dynamic-map 30 set security-association lifetime seconds 288000
6、在静态加密映射中调用动态加密映射并应用在接口上面。
crypto map kb***_map 10 ipsec-isakmp dynamic my***-dynamic-map \\kb***_map 自定义静态map名
crypto map kb***_map interface outside-CTC
7、nat穿越。
crypto isakmp nat-traversal
8、创建与设置组策略。
group-policy kb*** internal \\kb*** 策略组名
group-policy kb*** attributes
dns-server value 202.96.209.6 \\设置client的DNS
default-domain value cisco.com \\设置client的域名 ***-idle-timeout 300
***-filter value kbox-nonat
ipsec-udp enable
client-firewall none
client-access-rule none
9、隧道组的建立及设置属性。
tunnel-group kb*** type ipsec-ra
tunnel-group kb*** ipsec-attributes
pre-shared-key 123456 \\隧道组的密码
tunnel-group kb*** general-attributes
authentication-server-group LOCAL
default-group-policy kb***
address-pool ***-pool
10、配置用户账户。
username test password 123456 \\用户名、密码
username test attributes
***-group-policy kb***
11、配置NAT免除。(nat 0 配置以后,client网段才能访问内部需要开通的网段)
access-list ***nonat extended permit ip 10.10.17.0 255.255.255.0 10.10.99.0 255.255.255.0 \\允许client访问10.10.17.0 网段
access-list kbox-nonat extended permit ip any 10.10.0.0 255.255.0.0
nat (inside) 0 access-list ***nonat
12、隧道分离配置。(如果不配置隧道分离,客户端将不能够访问Internet)
access-list split-tunnel-acl extended permit ip 10.10.1.0 255.255.0.0 any
access-list split-tunnel-acl extended permit ip 192.168.0.0 255.255.0.0 any
group-policy ***client attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-acl
保存完毕。
以下为客户端设置
转载于:https://blog.51cto.com/shitou888/381252