<del id="7msxa"><table id="7msxa"><strong id="7msxa"></strong></table></del><legend id="7msxa"></legend>

<tbody id="7msxa"></tbody>
  • <ol id="7msxa"></ol><th id="7msxa"><track id="7msxa"><rt id="7msxa"></rt></track></th>
    1. <dd id="7msxa"></dd>
    2. 首頁 > 數據庫 > Access > 正文

      VPN實驗小結-vpn access server的配置

      2020-03-24 19:04:38
      字體:
      來源:轉載
      供稿:網友
      (一)vpn access server的配置

      實驗網絡拓撲:

      pc(vpn client 4.01)---switch---router1720 (vpn access server)

      pc配置:
      ip:10.130.23.242/28
      gw:10.130.23.246
      1720接口ip:
      f0:10.130.23.246/28
      lo0:172.16.1.1/24
      1720的ios為c1700-k93sy7-mz.122-8.T5.bin

      步驟:
      1、配置isakmp policy:
      crypto isakmp policy 1
      encr 3des
      authen pre-share
      group 2
      2、配置vpn client地址池
      cry isa client conf address-pool local pool192
      ip local pool pool192 192.168.1.1 192.168.1.254
      3、配置vpn client有關參數
      cry isa client conf group vclient-group
      ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。
      key vclient-key
      ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。
      pool pool192 ####client的ip地址從這里選取
      ####以上兩個參數必須配置,其他參數還包括domain、dns、wins等,根據情況進行配置。
      4、配置ipsec transform-set
      cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
      5、配置map模板
      cry dynamic-map template-map 1
      set transform-set vclient-tfs ####和第四步對應
      6、配置vpnmap
      cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
      cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數authorization
      cry map vpnmap client conf address respond ####響應client分配地址的請求
      7、配置靜態路由
      ip route 192.168.1.0 255.255.255.0 fastethernet0

      說明幾點:
      (1)因為1720只有一個fastethernet口,所以用router1720上的lo0地址來模擬router內部網絡。
      (2)vpn client使用的ip pool地址不能與router內部網絡ip地址重疊。
      (3)10.130.23.0網段模擬公網地址,172.16.1.0網段用于1720內部地址,192.168.1.0網段用于vpn通道。
      (4)沒有找到設置vpn client獲取的子網掩碼的辦法??磥硎莍os還不支持這個功能。
      (5)關于split tunnel。配置方法:首先,設置access 133 permit ip 172.16.1.0 0.0.0.255 any,允許1720本地網絡數據通過tunnel,然后在第三步驟中添加一個參數:acl 133。

      1720的完整配置:

      VPN1720#sh run
      Building configuration...

      Current configuration : 1321 bytes
      !
      version 12.2
      service timestamps debug uptime
      service timestamps log uptime
      no service password-encryption
      !
      hostname VPN1720
      !
      enable secret 5 {GetProperty(Content)}$aNmA$b0AqzlCr3MfM5XU0IAmED.
      !
      mmi polling-interval 60
      no mmi auto-configure
      no mmi pvc
      mmi snmp-timeout 180
      ip subnet-zero
      !
      !
      no ip domain-lookup
      !
      ip audit notify log
      ip audit po max-events 100
      !
      crypto isakmp policy 1
      encr 3des
      authentication pre-share
      group 2
      crypto isakmp client configuration address-pool local pool192
      !
      crypto isakmp client configuration group vclient-group
      key vclient-key
      domain test.com
      pool pool192
      !
      !
      crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac
      !
      crypto dynamic-map template-map 1
      set transform-set vclient-tfs
      !
      !
      crypto map vpnmap isakmp authorization list vclient-group
      crypto map vpnmap client configuration address respond
      crypto map vpnmap 1 ipsec-isakmp dynamic template-map
      !
      !
      !
      !
      interface Loopback0
      ip address 172.16.1.1 255.255.255.240
      !
      interface FastEthernet0
      ip address 10.130.23.246 255.255.255.240
      speed auto
      crypto map vpnmap
      !
      interface Serial0
      no ip address
      shutdown
      !
      ip local pool pool192 192.168.1.1 192.168.1.254
      ip html' target='_blank'>classless
      ip route 192.168.1.0 255.255.255.0 FastEthernet0
      no ip http server
      ip pim bidir-enable
      !
      !
      !
      !
      line con 0
      line aux 0
      line vty 0 4
      !
      no scheduler allocate
      end

      VPN Client 4.01的配置:
      新建一個connection entry,參數中name任意起一個,host填入vpn access server的f0地址

      10.130.23.246,
      group auahentication中name填vclient-group,password填vclient-key.

      測試:
      (1)在pc上運行VPN client,連接vpn access server。
      (2)ipconfig/all,查看獲取到的ip地址與其他參數。
      (3)在router,show cry isa sa,看連接是否成功。
      (4)從router,ping client已經獲取到的ip地址,通過。
      (5)從client,ping router的lo0配置的地址172.16.1.1,通過。
      (6)查看vpn client軟件的status--statistics,可以看到加密與解密的數據量。
      (7)1720上show cry ip sa, 也可以查看加密與解密的數據量。

      常用調試命令:
      show cry isakmp sa
      show cry ipsec sa
      clear cry sa
      clear cry isakmp
      debug cry isakmp #####這是最常用的debug命令,vpn連接的基本錯誤都可以用它來找到
      debug cry ipsec 本文作者:html教程

      鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

      發表評論 共有條評論
      用戶名: 密碼:
      驗證碼: 匿名發表
      japan日本人妻熟老太
      <del id="7msxa"><table id="7msxa"><strong id="7msxa"></strong></table></del><legend id="7msxa"></legend>

      <tbody id="7msxa"></tbody>
    3. <ol id="7msxa"></ol><th id="7msxa"><track id="7msxa"><rt id="7msxa"></rt></track></th>
      1. <dd id="7msxa"></dd>