路由器上实现EasyVPN

实验

实验拓扑图:

技术分享

实验环境:

 

GNS3上面搭建三台路由器和两台PC,规划公司内网和客户端,R1作为公司网关VPNR3作为客户端网关路由器,充当DHCPNAT地址等功能,R2作为外网运营商。

 

实验要求:

 

R1EasyVPN,实现公司出差人员通过外网可以访问公司局域网。

 

实验步骤:


路由器的各接口和PC机地址:


R1(config)#int f0/0

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#int f0/1

R1(config-if)#ip add 100.1.1.1 255.255.255.252

R2(config)#int f0/0

R2(config-if)#ip add 100.1.1.2 255.255.255.252

R2(config-if)#int f0/1

R2(config-if)#ip add 200.1.1.1 255.255.255.252

R3(config)#int f0/1

R3(config-if)#ip add 200.1.1.2 255.255.255.252

R3(config-if)#int f0/0

R3(config-if)#ip add 192.168.20.1 255.255.255.0


配置默认路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2

R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1


配置DHCP:

R3:


R3(config)#ip dhcp pool abc

R3(dhcp-config)#network 192.168.20.0 255.255.255.0

R3(dhcp-config)#default-router 192.168.20.1

R3(dhcp-config)#dns-server 9.9.9.9 

R3(dhcp-config)#lease 7


配置NAT:

R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255

R3(config)#ip nat inside source list 1 interface f0/1 overload

R3(config)#int f0/1

R3(config-if)#ip nat outside 

R3(config-if)#int f0/0

R3(config-if)#ip nat inside


在R1上配置EasyVPN:


R1(config)#aaa new-model   //开启AAA服务

R1(config)#aaa authentication login benet1 local  //AAA本地身份验证

R1(config)#aaa authorization network benet2 local  //AAA授权

R1(config)#username zhangsan password 123123  //创建本地用户

R1(config)#crypto isakmp policy 1   //定义控制连接IKE协议

R1(config-isakmp)#encryption 3des 

R1(config-isakmp)#hash sha

R1(config-isakmp)#authentication pre-share 

R1(config-isakmp)#group 2

R1(config-isakmp)#lifetime 60

R1(config)#ip local pool vpn 192.168.10.150 192.168.10.200   //定义分配给客户端地址池

R1(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 any  //分离隧道ACL

R1(config)#crypto isakmp client configuration group ezvpn  //创建组策略

R1(config-isakmp-group)#key 123456  //预共享密钥

R1(config-isakmp-group)#dns 8.8.8.8   //分离DNS

R1(config-isakmp-group)#pool vpn   //调用分配地址池

R1(config-isakmp-group)#split-dns benet.com  //分离域名DNS

R1(config-isakmp-group)#acl 110  //调用隧道分离

R1(config-isakmp-group)#save-password  //允许客户端可以保存密码

R1(config-isakmp-group)#netmask 255.255.255.0  //指定客户端的子网掩码

R1(config)#crypto ipsec transform-set benet esp-3des esp-sha-hmac   //定义传输集

R1(cfg-crypto-trans)#ex

R1(config)#crypto dynamic-map dymap 1  //建立动态MAP

R1(config-crypto-map)#reverse-route    //反转路由为连接成功的客户端产生32路由

R1(config-crypto-map)#set transform-set benet  //调用传输集

R1(config-crypto-map)#ex

R1(config)#crypto map mymap client configuration address respond   //建立静态MAP,接受地址响应

R1(config)#crypto map mymap client authentication list benet1  //认证列表为之前的AA服务中定义的benet1

R1(config)#crypto map mymap isakmp authorization list benet2   //授权列表为之前的AA服务中定义的benet2

R1(config)#crypto map mymap 1 ipsec-isakmp dynamic dymap   //静态MAP包含动态MAP

R1(config)#int f0/1

R1(config-if)#crypto map mymap  //静态MAP应用在端口


使用VPN客户端访问局域网PC:


客户端配置:

hostIP地址为对端VPN地址,名字和密码为之前组策略中创建的内容:


技术分享



测试使用客户端ping局域网PC:


技术分享


实验完成

本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1633003

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。