思科路由上EASY-×××的配置详解

 

EASY-×××的配置

EASY-×××是思科私有的协议，所有在华3、锐捷都用不了。

×××S(config)#inter f0/0 //设置接口IP

×××S(config-if)#ip add 200.1.1.1 255.255.255.0

×××S(config-if)#no shut

×××S(config)#ip local pool ***-pool 10.0.1.100 10.0.1.150 //定义一个地址池，类似DHCP

×××S(config)#aaa new-model  //定义AAA认证

×××S(config)#aaa authorization network ***-acc local //对本地用户授权

×××S(config)#aaa authentication login ***users local //对本地用户认证

×××S(config)#username shaowei password shaowei //创建本地用户，用于登陆×××

×××S(config)#crypto isakmp enable //设置IKE认证

×××S(config)#crypto isakmp policy 1 //优先级别1，最高

×××S(config-isakmp)#authentication pre-share //

×××S(config-isakmp)#encryption 3des //设置封装格式为3DES

×××S(config-isakmp)#group 2 //1024比特的密钥，easy***只能选group2

×××S(config-isakmp)#exit

×××S(config)#crypto isakmp client configuration group ***-acc //设置组策略，×××-ACC为以后登陆×××的组名

×××S(config-isakmp-group)#key 123456 //设置组密钥

×××S(config-isakmp-group)#? //这类似于DHCP给客户机分配DNS，掩码之类，模拟器很多支持不了

  exit     Exit from ISAKMP client group policy configuration mode

  key      pre-shared key/IKE password

  netmask  netmask used by the client for local connectivity

  no       Negate a command or set its defaults

  pool     Set name of address pool

×××S(config-isakmp-group)#pool ***-pool //调用地址池，要跟上面所设置的名字一样，给客户机分配内网IP

×××S(config-isakmp-group)#exit

×××S(config)#crypto ipsec transform-set ***sec esp-3des esp-sha-hmac //创建转换集名字：×××SEC，加密方式3DES，进行哈希

×××S(config-crypto-map)#reverse-route //反向路由注入

×××S(config-crypto-map)#exit

×××S(config)#crypto dynamic-map mymap 1 //创建动态加密图，这个很重要，以后应用在接口上的

×××S(config)#crypto map mymap client configuration address respond //配置路由器响应模式配置的请求

×××S(config)#crypto map mymap client authentication list ***users //调用本本地用户认证列表

×××S(config)#crypto map mymap isakmp authorization list ***-acc //这个是把我们刚才配置的IKE组策略应用上

×××S(config)#inter f0/0 //把动态加密图应用到接口上

×××S(config-if)#crypto map mymap

 

总结：前后关系非常重要，这个是一层套接一层的，稍有差错可能就无法提供服务。IP地址池是分配给远程用户的内网地址，AAA认证是提供本地用户的认证，给远程用户提供帐户信息的，IKE组策略是远程用户登陆的所在的组，包括登陆组的密码，给登陆该组的用户指定DNS/WIN信息，类似DHCP，并定义了加密类型。动态加密图，就我理解，就是把那些拥护列表与哪些IKE组策略对应起来，因为很多情况一个公司的×××组可能很多，有不同权限，他们是动态的，可以给他们更换不同的组策略或者用户列表。

转载于:https://blog.51cto.com/wei91/881209