试验说明;R1为SKY公司的网关,其F1/0接口连接互联网,用户现在出差在外,通过拨号连接到互联网上,现在希望实现用户通过internet拨号进入SKY公司的R1路由器上,拨号使用easy ***,并能连接到SKY公司的内网,192.168.0.0/24 网段
需求拓扑:(见附件拓扑)
实验要求;
1,通过cisco *** client 拨上R1,需要ping通R1的网关的地址,
2,×××拨入成功之后,可以ping通 192.168.0.2,能访问内网服务器上的共享资源
实验过程:
第一步 R1预配置
R1(config)#int f0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
// 在本实验中PC机的IP地址是192.168.1.101
第二步 配置认证策略
R1#conf t
R1(config)#aaa new-model
// 激活AAA
R1(config)#aaa authorization network ***-client-user local
// 配置对远程接入IPSec连接的授权,组名为***-client-user
第三步 定义用户的组策略
R1(config)#ip local pool ×××DHCP 192.168.0.100 192.168.0.150
// 配置一个内部地址池,用于分配IP地址到远程接入的×××客户端,在本实验中地址池的起始地址为192.168.0.100,终止的IP地址为192.168.0.150,在后面的组策略中会引用改地址池
R1(config)#crypto isakmp client configuration group ***-client-user
// 配置远程接入组,组名为***-client-user,此组名与aaa authorization network命令中的名称一致
R1(config-isakmp-group)#key norvel.com.cn
// 配置IKE阶段1使用预共享密钥,密钥为norvel.com.cn
R1(config-isakmp-group)#pool ×××DHCP
// 配置在客户端连接的Easy ××× client所分配的IP地址池
R1(config-isakmp-group)#dns 221.11.1.67
// 给客户端分配DNS地址
R1(config-isakmp-group)#domain norvel.com.cn
// 配置分配给客户端的DNS域名
R1(config-isakmp-group)#exit
R1(config)#
第四步 配置IKE阶段1策略
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config-isakmp)#exit
R1(config)#end
R1#show crypto isakmp policy
第五步 配置动态加密映射
R1#conf t
R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des
// 配置名为R1的转换集
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map dy*** 10
// 配置名为dy***的动态加密映射
R1(config-crypto-map)#set transform-set R1
R1(config-crypto-map)#reverse-route
//Reverse-route 生成的两条路由,不配置这条命令,是无法ping内网的设备192.168.0.2
R1(config-crypto-map)#exit
第六步 配置静态加密映射
R1(config)#crypto map dy*** isakmp authorization list ***-client-user
// 指定应该为远程接入×××连接执行的授权,这里的***-client-user名称必须与aaa authorization network命令中的相同
R1(config)#crypto map dy*** client configuration address respond
// 配置允许路由器将信息分配给远程接入客户端,respond参数使路由器等待客户端提示发送这些信息,然后路由器使用策略信息来回应
R1(config)#crypto map dy*** 1 ipsec-isakmp dynamic dy***
// 配置在静态映射条目中关联动态加密映射
第七步 在接口上激活静态加密映射
R1(config)#int e1/0
R1(config-if)#crypto map dy***
R1(config-if)# ^Z
第八步 在PC机上打开Cisco ××× Client进行配置,点击New创建一个新的×××连接
(见附件cisco *** client 1)
第九步 在×××连接中进行配置,连接名填写easy***,主机填写××× Server 192.168.1.200,name填写***-client-user,密码填写norvel.com.cn
(见附件cisco *** client 2)
转载于:https://blog.51cto.com/aussff/574960
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
