【思科VPN】远程访问VPN简单演示

前提:目前远程访问VPN的应用范围非常广,与站点到站点式的vpn不同,远程访问vpn一般用于员工在外地出差或者在家里的时候,需要访问公司内部服务器的情形。

实验拓扑:

 

需求:如图,用一朵浮云来代表出差的员工,R1为网关,R2为运营商路由器,R3代表公司外网路由器,R3上环回口作为公司内网。要求客户端可以访问公司内网地址。

实验步骤:

  1. 首先进行基本配置,如下

 

用虚拟机V1模拟客户端

 

R1

f0/1: 192.168.80.1/24

f0/0: 12.0.0.1/24

 

R2

f0/1: 12.0.0.2/24

f0/0: 23.0.0.2/24

 

R3

f0/0: 23.0.0.3/24

l0: 192.168.30.1/24 (公司内网)

 

在网关上指一条默认给R2

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

 

做PAT
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#ip nat outside
R1(config)#access-list 10 permit any
R1(config)#ip nat inside source list 10 int f0/0 overload

 

R3也要指一条默认给R2

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

 

首先在虚拟机上测试下能否ping 通R3外网口

 

 

能ping通,且debug R3发现PAT已配置成功。

 

2.配置远程访问VPN

在R3上配置

(1)定义认证授权方式,以及本地用户名密码

 

aaa new-model
aaa authentication login rz local                //定义认证方式为本地认证
aaa authorization network sq local             //定义授权方式为本地授权
username test password 0 abc123            //定义本地用户名、密码

 

 

(2)定义阶段一策略,客户端软件会内置对应的策略

crypto isakmp policy 1
 encr 3des
 hash sha
 authentication pre-share
 group 2
!


(3)定义推送给客户端的组策略(客户端IP不固定,需要由服务器推送配置)

crypto isakmp client configuration group ezvpn            //配置组名ezvpn
.

 key 123456                                                             //定义预共享密钥
 dns 9.9.9.9                                                             //指定内网DNS
 pool vip                                                                  //调用地址池
 acl 110                                                                  //为客户端指定感兴趣流
 save-password                                                       //允许客户端可以保存密码
 split-dns benet.com                                                //当客户端访问该域后缀时通过内网DNS解析
 netmask 255.255.255.0                                          //指定客户端的子网掩码
!
!

 

(4)定义阶段二策略

crypto ipsec transform-set bset esp-3des esp-sha-hmac
!
crypto dynamic-map bmap 1
 set transform-set bset
 reverse-route                                                    //启用路由反向注入,为连接成功的客户端产生32位路由
crypto map mymap client authentication list rz                                //调用认证策略
crypto map mymap isakmp authorization list sq                               //调用授权策略
crypto map mymap client configuration address respond                 //响应客户端的地址请求
crypto map mymap 1 ipsec-isakmp dynamic bmap                          //将动态map关联到静态map

 

(6)定义地址池,和指定感兴趣流

ip local pool vip 8.8.8.100 8.8.8.200                                               //定义地址池
access-list 110 permit ip 192.168.30.0 0.0.0.255 any           //定义到客户端感兴趣流(公司内网地址),客户端会反转。

 

配置完成,将mymap应用在R3外网口

interface FastEthernet0/0
 crypto map mymap
 

3.测试结果。

在虚拟机v1上进行模拟客户端登录。

首先需要安装一款软件cisco vpnclient

 

安装完毕后,将虚拟机的网关设为192.168.80.1

打开vpnclient,设置如下

 

下面可以右击保存的entry连接了

输入设置的账号密码

 

连接完毕,可以查看属性。

 

可以发现,已经获得服务器分配的内网地址8.8.8.100/24了,已经可以访问公司内网了,实验完毕。

 

 

 

 

 

 

 

本文出自 “NE之路” 博客,请务必保留此出处http://332162926.blog.51cto.com/8831013/1575605

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。