思科Easy VPN的运用_路由器设置网

*（ Easy VPN为思科私有）

R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/0

R3(config)#ip route 0.0.0.0 0.0.0.0 serial0/1

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-router)#network 172.16.0.0

R3(config-router)#redistribute static

//目的是把静态路由发布给路由器R4，静态路由包含了默认路由以及VPN客户连通后自动产生的主机路由

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#no auto-summary

R4(config-router)#network 172.16.0.0

R1(config)#interface serial 0/0/0

R1(config)#ip nat outside

R1(config)#interface fastethernet0/0

R1(config)#ip nat inside

R1(config)#access-list 10 permit 10.1.1.0 0.0.0.255

R1(config)#ip nat inside source list 10 interface serial0/0 overload

R3(config)#crypto isakmp policy 1 //定义isakmp策略

R3(config-isakmp)#encr 3des

R3(config-isakmp)#hash sha

R3(config-isakmp)#authentication per-share

R3(config-isakmp)#group 2 //如果客户端是软件客户端，group只能选择group 2

以下设置到客户端的组策略：

R3(config)#ip local pool REMOTE-POOL 172.16.100.1 172.16.100.250

R3(config)#ip access-list extended EZVPN

R3(config-exl-nacl)#permit ip 172.16.0.0 0.0.255.255 any

//定义的列表向客户端指明只发往该网络的数据包才进行加密，而其它流量不要加密，这称为 Split-Tunnel。

R3(config)#crypto isakmp clent configuration group CISCO-ACCESS //创建一个组策略，组名为CISCO-ACCESS，要对该组的属性进行设置

R3(config-isakmp-group)#key cisco //设置组的密码

R3(config-isakmp-group)#pool CISCO //配置该组的用户将采用的IP地址池

R3(config-isakmp-group)#save-password //允许用户保存组的密码。

R3(config-isakmp-group)#acl EZVPN //指明Split-Tunnel 所使用的ACL

R3(config)#aaa new-model //启用AAA功能

R3(config)#aaa authorization network CISCO-ACCESS local //定义在本地进行授权

R3(config)#crypto map CLIENTMAP isakmp authorization list CISCO-ACCESS //指明 isakmp的授权方式

R3(config)#crypto map CLIENTMAP client configuration address respond //配置当用户请求就ip地址时就响应地址请求

以下定义DPD时间，路由器定时检测VPN会话，如果会话已经有60S没有响应，将被删除。用于防止用户非正常终止会话（eg:注销VPN之前直接断网）。

R3(config)#crypto isakmp keepalive 60

以下定义变换集和加密图：

R3(config)#crypto ipsec transform-set VPNTRANSFORM esp-3des esp-sha-hmac 定义一个变换集

R3(config)#crypto dynamic-map DYNMAP1

R3(config-isakmp-map)#set transform-set VPNTRANSFORM

R3(config-isakmp-map)#reverse-route //创建动态加密图，并指明了加密图的变换集，反向路由注入，加密图之所以要动态，是因为无法预知客户端的IP

R3(config)#crypto map CLIENTMAP 65535 ipsec-isakmp dynamic DYNMAP

//把动态加密图应用到静态加密图，因为接口下只能应用静态加密图

以下配置Xauth：

R3(config)#aaa authentication login VPNUSERS local //定义一个认证方式，用户名和密码在本地

R3(config)#username vpnuser secret cisco //定义了一个用户名和密码

R3(config)#crypto map CLIENTMAP client authenticatior list VPNUSERS

//以上指明采用之前定义的认证方式对用户进行认证

R3(config)#crypto isakmp xauth timeout 20 设置认证超时时间

以下在接口上应用静态加密图：

R3(config)#interface serial0/1

R3(config-if)#crypto map CLIENTMAP

在PC上使用Cisco VPN Client客户端进行连接

思科Easy VPN的运用

192.168.3.1华为路由器进入管理界面设置上网

华为荣耀路由Pro2使用设置方法

melogin.cn页面进不去怎么办

【教程】华为TC5200路由器怎么设置

【视频】水星MW351R V1 设置无线路由器上网

遇到无法登录tplogin.cn的情况，怎么办？

如何登录tplogin.cn进入路由器设置界面

【视频】如何通过手机设置TP-LINK无线路由器上网

手机如何设置TP-LINK路由器？

【视频教程】迅捷（Fast）路由器如何设置？

自己家里的wifi密码怎么改

192.168.1.1打不开怎么办（一）

TP-LINK TL-WR843N 3G无线路由器设置教程

192.168.1.1打不开怎么办（二）

【教程】怎么在手机上修改路由器的WIFI密码