[CCIE那点事]原创:第二集:手把手交你配置VPN之L2L+ezvpn

来源:本站原创 VPN 超过2,313 views围观 1条评论

看完第一集有没有神马感觉呢,现在有空了来写第二集.

回顾

本文标题:[CCIE那点事]原创:第一集:手把手交你配置VPN之L2L站点到站点VPN

第二集我们来讲讲 L2L VPN和EZVPN同时使用的情况.

哪些情况会使用到这种结合的VPN呢.哈哈.当然是远程办公了.

现在我们来讲讲

1.怎么配置L2LVPN  这个上篇已经讲了

2.怎么配置EZVPN  

分三阶段看的比较清楚.

第0阶段.

1.配置AAA

2.配置帐号密码

第一阶段

3.配置IKE策略

4.配置IKE组

第二阶段

5.配置交换集 

6.配置动态图

7.配置客户端的静态映射图

8.应用

9.配置EZVPN的地址池    这个最后配没关系,最好是放在最后.

10.配置遂道分离的ACL   这个最后配没关系,最好是放在最后.

上图才是硬道理

拓扑和上期变化不大,主要是加了台laptop模拟远程用户连接到公司内网进行工作.

这个情形几乎覆盖到所有现在的公司.因为出于安全的考虑,所有公司都会采取这种方法.以前的做法是内部OA系统和邮件系统直接放到公

网上,这样是用户方遍了,但其来讲基本就没有安全性了,因为存在一种叫暴力破解的方法.这里不多讲.咱是搞安全的,不是搞黑客的.

clipboard[3]

hub做为总部的主路由器同时配置 L2L VPN 和EZVPN

b01还是L2L到总部.

实验目的

laptop1通过EZVPN 连接到总部并获得 3.1.1.100-200的地址,并且可以访问 1.1.1.0总部内网.这个段的地址.

HUB配置来了,这次只要动这个路由器就OK了.其它的可以不动.

hostname hub

!

aaa new-model   /*开启    AAA不熟的请看 :http://www.jdccie.com/?p=3008  AAA详解

!

aaa authentication login ezauthen local         /*连接的验证方式 本地认证 标识符ezauthen 这个后面会用到.

!

aaa authorization network ezauthor local      /*对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权

                                                                            /*标识符ezauthor  这个后面会用到.

!

username cisco password 0 cisco

!

————–第一阶段配置IKE协商说白了就是配置建立tunnel的信息———-

crypto isakmp policy 100

encr 3des                                

authentication pre-share

group 2                    /*上次没讲.这个玩意是1024加密

!

!

crypto isakmp client configuration group ezgp               /*配置EZVPN的组, EZVPN拔号需要

key cisco123

pool ezpool

ACL XXX   /*这个模拟器不支持,这个地址可以做遂道分离,所以后面导致只能访问1.1.1.0段.不能访问2.2.2.0段.

!

!

————–第二阶段配置加密方式,对流量进行加密———-

crypto ipsec transform-set newset esp-3des esp-md5-hmac               /*这玩意不变,不清楚的请看上集.

!

crypto dynamic-map mymap 10           /*配置动态图  

set transform-set newset

!

crypto map map1 client authentication list ezauthen    /*调用ezauthen 对客户端进行验证

crypto map map1 isakmp authorization list ezauthor   /*调用authorization对客户端进行授权

crypto map map1 client configuration address respond   /*这个配置是让客户端主动请求服务器才回复相应信息.

crypto map map1 100 ipsec-isakmp dynamic mymap   /*将动态映射 mymap 与静态映射 map1关联

!

spanning-tree mode pvst

!

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat outside

duplex auto

speed auto

crypto map map1           /*应用静态映射.

!

ip local pool ezpool 3.1.1.100 3.1.1.200     /*EZVPN客户端的地址池.

acl xxx   因为这个版本不支持,所以我也没有写.

效果测试

1.进入PC,配置VPN

clipboard[23]

配置信息 都在配置里面.

clipboard[24]

连接成功.

clipboard[25]clipboard[26]

PC1端PING测试 无问题,哈哈,话说这个软件很好用呢.客户端都不用配直接就有VPN客户端.思科还是很人性化的嘛..

clipboard[27]

clipboard[28]

原理神马的就不讲了,网上的版本好多.自己看吧,真的需求的话我就自己写个好懂的给你们.

第三集预告   adsl + ipsec vpn

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=3020转载请注明转自CCIE那点事
如果喜欢:点此订阅本站