路由器上实现EasyVPN
实验
实验拓扑图:
实验环境:
在GNS3上面搭建三台路由器和两台PC,规划公司内网和客户端,R1作为公司网关VPN,R3作为客户端网关路由器,充当DHCP和NAT地址等功能,R2作为外网运营商。
实验要求:
在R1做EasyVPN,实现公司出差人员通过外网可以访问公司局域网。
实验步骤:
路由器的各接口和PC机地址:
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#int f0/1
R1(config-if)#ip add 100.1.1.1 255.255.255.252
R2(config)#int f0/0
R2(config-if)#ip add 100.1.1.2 255.255.255.252
R2(config-if)#int f0/1
R2(config-if)#ip add 200.1.1.1 255.255.255.252
R3(config)#int f0/1
R3(config-if)#ip add 200.1.1.2 255.255.255.252
R3(config-if)#int f0/0
R3(config-if)#ip add 192.168.20.1 255.255.255.0
配置默认路由:
R1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
配置DHCP:
R3:
R3(config)#ip dhcp pool abc
R3(dhcp-config)#network 192.168.20.0 255.255.255.0
R3(dhcp-config)#default-router 192.168.20.1
R3(dhcp-config)#dns-server 9.9.9.9
R3(dhcp-config)#lease 7
配置NAT:
R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)#ip nat inside source list 1 interface f0/1 overload
R3(config)#int f0/1
R3(config-if)#ip nat outside
R3(config-if)#int f0/0
R3(config-if)#ip nat inside
在R1上配置EasyVPN:
R1(config)#aaa new-model //开启AAA服务
R1(config)#aaa authentication login benet1 local //AAA本地身份验证
R1(config)#aaa authorization network benet2 local //AAA授权
R1(config)#username zhangsan password 123123 //创建本地用户
R1(config)#crypto isakmp policy 1 //定义控制连接IKE协议
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 60
R1(config)#ip local pool vpn 192.168.10.150 192.168.10.200 //定义分配给客户端地址池
R1(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 any //分离隧道ACL
R1(config)#crypto isakmp client configuration group ezvpn //创建组策略
R1(config-isakmp-group)#key 123456 //预共享密钥
R1(config-isakmp-group)#dns 8.8.8.8 //分离DNS
R1(config-isakmp-group)#pool vpn //调用分配地址池
R1(config-isakmp-group)#split-dns benet.com //分离域名DNS
R1(config-isakmp-group)#acl 110 //调用隧道分离
R1(config-isakmp-group)#save-password //允许客户端可以保存密码
R1(config-isakmp-group)#netmask 255.255.255.0 //指定客户端的子网掩码
R1(config)#crypto ipsec transform-set benet esp-3des esp-sha-hmac //定义传输集
R1(cfg-crypto-trans)#ex
R1(config)#crypto dynamic-map dymap 1 //建立动态MAP
R1(config-crypto-map)#reverse-route //反转路由为连接成功的客户端产生32路由
R1(config-crypto-map)#set transform-set benet //调用传输集
R1(config-crypto-map)#ex
R1(config)#crypto map mymap client configuration address respond //建立静态MAP,接受地址响应
R1(config)#crypto map mymap client authentication list benet1 //认证列表为之前的AA服务中定义的benet1
R1(config)#crypto map mymap isakmp authorization list benet2 //授权列表为之前的AA服务中定义的benet2
R1(config)#crypto map mymap 1 ipsec-isakmp dynamic dymap //静态MAP包含动态MAP
R1(config)#int f0/1
R1(config-if)#crypto map mymap //静态MAP应用在端口
使用VPN客户端访问局域网PC:
客户端配置:
hostIP地址为对端VPN地址,名字和密码为之前组策略中创建的内容:
测试使用客户端ping局域网PC:
实验完成
本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1633003
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。