在路由器上Ezvpn的应用配置

　　在大中型企业中，往往由于业务的需要，员工需要长期出差办公或者因各方面原因需要在家办公。同时大家又想随时访问公司总部资源，并且，保证数据在传输过程中是保密的，不被第三方截取篡改。种种原因引起我们的思考，由此采用了目前应用的一项安全技术Ezvpn(基于ipsec vpn)。每个远程用户通过cisco vpn client 拨号软件采用不同的用户分发策略，远程连上总公司，访问公司资源。

　　如下图实验：

　　

 

　　R1>en

　　R1#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　R1(config)#line con 0

　　R1(config-line)#no exec-t

　　R1(config-line)#exit

　　R1(config)#host r1

　　r1(config)#int f0/0

　　r1(config-if)#no sh

　　r1(config-if)#ip add 192.168.1.1 255.255.255.0

　　r1(config-if)#exit

　　r1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

　　r1(config)#

　　r1(config)#

　　r1(config)#int lo 0

　　r1(config-if)#no sh

　　r1(config-if)#ip add 1.1.1.1 255.255.255.0

　　r1(config-if)#end

　　r1#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　r1(config)#

　　r1(config-if)#line vty 0 15

　　r1(config-line)#password cisco

　　r1(config-line)#login

　　r1(config-line)#end

　　r1#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　r1(config)#end

　　r1#conf t

　　r1(config)#enable secret 5 cisco

　　r1(config)#end

　　=================================R2===================================

　　R2>en

　　R2#conf t

　　R2(config)#line con 0

　　R2(config-line)#no exec-t

　　R2(config-line)#exit

　　R2(config)#host r2

　　r2(config)#

　　r2(config)#

　　r2(config)#int f0/0

　　r2(config-if)#no sh

　　r2(config-if)#ip add 192.168.1.2 255.255.255..0

　　r2(config-if)#int f1/0

　　r2(config-if)#no sh

　　r2(config-if)#ip add 23.23.23.2 255.255.255.0

　　r2(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.3

　　r2(config)#aaa new-model

　　r2(config)#aaa authentication login vpn local group radius --定义本地数据库认证

　　r2(config)#aaa authorization network ezvpn local group radius

　　r2(config)#username liwenming password 7 liwenming --创建远程vpn用户名和密码

　　r2(config)#crypto isakmp policy 10 --配置IKE策略

　　r2(config-isakmp)#en 3des

　　r2(config-isakmp)#hash sha

　　r2(config-isakmp)#authentication pre-share

　　r2(config-isakmp)#group 2

　　r2(config-isakmp)#exit

　　r2(config)#ip local pool Ezvpn 192.168.2.1 192.168.2.200 --远程拨号自动地址池

　　r2(config)#crypto isakmp client configuration group remotevpn --远程客户端用户组策略

　　r2(config-isakmp-group)#key liwenming

　　r2(config-isakmp-group)#dns 202.196.209.133

　　r2(config-isakmp-group)#pool Ezvpn

　　r2(config-isakmp-group)#domain linweming.com

　　r2(config-isakmp-group)#exit

　　r2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

　　r2(cfg-crypto-trans)#eixt

　　r2(config)#crypto dynamic-map mymap 1

　　r2(config-crypto-map)#reverse-route

　　r2(config-crypto-map)#set transform-set myset

　　r2(config-crypto-map)#exit

　　r2(config)#crypto map newmap client configuration add respond

　　r2(config)#crypto map newmap client authentication list vpn --crypto map 调用定义的认证

　　r2(config)#crypto map newmap isakmp authorization list ezvpn --crypto map 调用定义的授权

　　r2(config)#crypto map newmap 1 ipsec-isakmp dynamic mymap

　　r2(config)#int f1/0

　　r2(config-if)#cryp

　　r2(config-if)#crypto map newmap

　　r2(config-if)#

　　*Mar 1 01:06:35.375: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

　　r2(config-if)#exit

　　r2(config)#end

　　r2#

　　r2(config)#

　　r2(config)#aaa authorization network ezvpn group radius

　　r2(config)#ip route 1.1.1.1 255.255.255.255 192.168.1.1

　　r2(config)#end

　　r2(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any --定义隧道分离

　　r2(config)#access-list 101 permit ip host 1.1.1.1 any

　　r2(config)#crypto isakmp client configuration group remotevpn

　　r2(config-isakmp-group)#acl 101

　　r2(config-isakmp-group)#end

　　r2#sh

　　===============================Internet==================================

　　R3>en

　　R3#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　R3(config)#line con 0

　　R3(config-line)#no exec-t

　　R3(config-line)#exit

　　r3(config)#host Internet

　　Internet(config)#int f0/0

　　Internet(config-if)#no sh

　　Internet(config-if)#ip add 23.23.23.3 255.255.255.255.0

　　Internet(config)#int f1/0

　　Internet(config-if)#no sh

　　Internet(config-if)#ip add

　　Internet(config-if)#ip add 34.34.34.3 255.255.255.0

　　Internet(config-if)#int lo 0

　　Internet(config-if)#no sh

　　Internet(config-if)#ipadd 3.3.3.3 255.255.255.0

　　Internet(config-if)#end

　　=============================r4=============================================

　　R4>en

　　R4#conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　R4(config)#line con 0

　　R4(config-line)#no exec-t

　　R4(config-line)#exit

　　R4(config)#host r4

　　r4(config)#int f0/0

　　r4(config-if)#no sh

　　r4(config-if)#ip add 34.34.34.4 255.255.255.0

　　r4(config-if)#int f1/0

　　r4(config-if)#no sh

　　r4(config-if)#ip add

　　r4(config-if)#ip add 45.45.45.4 255.255.255.0

　　r4(config-if)#

　　r4(config-if)#

　　r4(config-if)#exit

　　r4(config)#ip route 0.0.0.0 0.0.0.0 34.34.34.3

　　r4(config)#service dhcp

　　r4(config)#ip dhcp pool Ezvpn

　　r4(dhcp-config)#net

　　r4(dhcp-config)#netw

　　r4(dhcp-config)#network 45.45.45.0 255.255.255.0

　　r4(dhcp-config)#de

　　r4(dhcp-config)#default-router 45.45.45.4

　　r4(dhcp-config)#dns

　　r4(dhcp-config)#dns-server 202.103.24.68 202.103.44.150

　　r4(dhcp-config)#exit

　　r4(config)#ip dhcp excluded-address 45.45.45.4

　　r4(config)#end

　　r4(config)#access-list 1 permit any

　　r4(config)#ip nat inside source list 1 int f0/0 ove

　　r4(config)#ip nat inside source list 1 int f0/0 overload

　　r4(config-if)#int f0/0

　　r4(config-if)#ip nat outside

　　r4(config-if)#int f1/0

　　r4(config-if)#ip nat inside

　　实验调试：

　　在pc机上通过cisco vpn client连上总部

　　

 

 

　　连接上23.23.23.2

　　

成功连上Ezvpn server

 

　　

 

　　telnet到总部的R1

　　

 

　　没有配置隧道分离时的现象：

　　没有隧道分离时，远程用户的流量直接经过vpn到了总部，并且发往外网的流量也被发往Ezvpn server中，为了既能够正常访问外网又能够正常访问总部内网，必须设置隧道分离把流量分开。如下图：设置了流量分离后

　　

　本文出自 “阅微草堂笔记” 博客，请务必保留此出处http://loverain.blog.51cto.com/2271638/822550