<em id="kkln5"><ruby id="kkln5"><u id="kkln5"></u></ruby></em>
<rp id="kkln5"></rp>

    <s id="kkln5"><object id="kkln5"></object></s>
  1. <dd id="kkln5"><pre id="kkln5"></pre></dd>
  2. 首頁 > 數據庫 > Access > 正文

    VPN實驗小結-vpn access server的配置

    2020-03-24 19:04:38
    字體:
    來源:轉載
    供稿:網友
    (一)vpn access server的配置

    實驗網絡拓撲:

    pc(vpn client 4.01)---switch---router1720 (vpn access server)

    pc配置:
    ip:10.130.23.242/28
    gw:10.130.23.246
    1720接口ip:
    f0:10.130.23.246/28
    lo0:172.16.1.1/24
    1720的ios為c1700-k93sy7-mz.122-8.T5.bin

    步驟:
    1、配置isakmp policy:
    crypto isakmp policy 1
    encr 3des
    authen pre-share
    group 2
    2、配置vpn client地址池
    cry isa client conf address-pool local pool192
    ip local pool pool192 192.168.1.1 192.168.1.254
    3、配置vpn client有關參數
    cry isa client conf group vclient-group
    ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。
    key vclient-key
    ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。
    pool pool192 ####client的ip地址從這里選取
    ####以上兩個參數必須配置,其他參數還包括domain、dns、wins等,根據情況進行配置。
    4、配置ipsec transform-set
    cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
    5、配置map模板
    cry dynamic-map template-map 1
    set transform-set vclient-tfs ####和第四步對應
    6、配置vpnmap
    cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
    cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數authorization
    cry map vpnmap client conf address respond ####響應client分配地址的請求
    7、配置靜態路由
    ip route 192.168.1.0 255.255.255.0 fastethernet0

    說明幾點:
    (1)因為1720只有一個fastethernet口,所以用router1720上的lo0地址來模擬router內部網絡。
    (2)vpn client使用的ip pool地址不能與router內部網絡ip地址重疊。
    (3)10.130.23.0網段模擬公網地址,172.16.1.0網段用于1720內部地址,192.168.1.0網段用于vpn通道。
    (4)沒有找到設置vpn client獲取的子網掩碼的辦法??磥硎莍os還不支持這個功能。
    (5)關于split tunnel。配置方法:首先,設置access 133 permit ip 172.16.1.0 0.0.0.255 any,允許1720本地網絡數據通過tunnel,然后在第三步驟中添加一個參數:acl 133。

    1720的完整配置:

    VPN1720#sh run
    Building configuration...

    Current configuration : 1321 bytes
    !
    version 12.2
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname VPN1720
    !
    enable secret 5 {GetProperty(Content)}$aNmA$b0AqzlCr3MfM5XU0IAmED.
    !
    mmi polling-interval 60
    no mmi auto-configure
    no mmi pvc
    mmi snmp-timeout 180
    ip subnet-zero
    !
    !
    no ip domain-lookup
    !
    ip audit notify log
    ip audit po max-events 100
    !
    crypto isakmp policy 1
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp client configuration address-pool local pool192
    !
    crypto isakmp client configuration group vclient-group
    key vclient-key
    domain test.com
    pool pool192
    !
    !
    crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac
    !
    crypto dynamic-map template-map 1
    set transform-set vclient-tfs
    !
    !
    crypto map vpnmap isakmp authorization list vclient-group
    crypto map vpnmap client configuration address respond
    crypto map vpnmap 1 ipsec-isakmp dynamic template-map
    !
    !
    !
    !
    interface Loopback0
    ip address 172.16.1.1 255.255.255.240
    !
    interface FastEthernet0
    ip address 10.130.23.246 255.255.255.240
    speed auto
    crypto map vpnmap
    !
    interface Serial0
    no ip address
    shutdown
    !
    ip local pool pool192 192.168.1.1 192.168.1.254
    ip html' target='_blank'>classless
    ip route 192.168.1.0 255.255.255.0 FastEthernet0
    no ip http server
    ip pim bidir-enable
    !
    !
    !
    !
    line con 0
    line aux 0
    line vty 0 4
    !
    no scheduler allocate
    end

    VPN Client 4.01的配置:
    新建一個connection entry,參數中name任意起一個,host填入vpn access server的f0地址

    10.130.23.246,
    group auahentication中name填vclient-group,password填vclient-key.

    測試:
    (1)在pc上運行VPN client,連接vpn access server。
    (2)ipconfig/all,查看獲取到的ip地址與其他參數。
    (3)在router,show cry isa sa,看連接是否成功。
    (4)從router,ping client已經獲取到的ip地址,通過。
    (5)從client,ping router的lo0配置的地址172.16.1.1,通過。
    (6)查看vpn client軟件的status--statistics,可以看到加密與解密的數據量。
    (7)1720上show cry ip sa, 也可以查看加密與解密的數據量。

    常用調試命令:
    show cry isakmp sa
    show cry ipsec sa
    clear cry sa
    clear cry isakmp
    debug cry isakmp #####這是最常用的debug命令,vpn連接的基本錯誤都可以用它來找到
    debug cry ipsec 本文作者:html教程

    鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

    發表評論 共有條評論
    用戶名: 密碼:
    驗證碼: 匿名發表
    <em id="kkln5"><ruby id="kkln5"><u id="kkln5"></u></ruby></em>
    <rp id="kkln5"></rp>

      <s id="kkln5"><object id="kkln5"></object></s>
    1. <dd id="kkln5"><pre id="kkln5"></pre></dd>