国内外企业局域网建设现状及分析毕业论文 下载本文

内容发布更新时间 : 2024/11/20 18:41:42星期一 下面是文章的全部内容请认真阅读。

第六章 远程访问模块

任务1—为设备的认证和用户认证(XAUTH)定义AAA策略(预共享密钥和RSA签名);

任务2—为远程客户端定义组信息,包括组策略; 任务3—建立IKE阶段1策略;

任务4—建立动态加密映射,用于远程接入连接;

任务5—建立静态加密映射,包括动态加密映射作为一个条目(静态加密映射引用动态加密映射);

任务6—验证配置,确保客户端连接时正确的;

6.1.2 认证策略

要为远程接入执行客户端认证,可以让路由器在本地执行XAUTH认证,首先要激活AAA,而后设置AAA认证和授权,同时还需要为每一个用户配置用户名和密码。

R-2811-A>en R-2811-A#config t

R-2811-A(config)#aaa new-model //激活路由器AAA R-2811-A(config)#username wang secret wang //为每位用户设置用户名密码

R-2811-A(config)#username zhang secret zhang

R-2811-A(config)#aaa authentication login vpnauthenticate local //设置AAA认证

R-2811-A(config)#aaa authorization network vpngroup1 local //设置AAA授权

36

第六章 远程访问模块

6.1.3 设置组策略

在设置了认证策略后,我们可以定义用户的组策略。

R-2811-A(config)#ip local pool remote-pool 192.168.7.100 192.168.7.200

//定义分配给远程接入客户端的地址池192.168.7.100到192.168.7.200 R-2811-A(config)#crypto isakmp client configuration group vpngroup1 //建立远程接入组vpngroup1

R-2811-A(config-isakmp-group)#pool remote-pool R-2811-A(config-isakmp-group)#key myvpnkey //设置预共享密钥myvpnkey

R-2811-A(config-isakmp-group)#exit

6.1.4 IKE阶段1策略

在定义了远程接入组后,可以进行IKE阶段1策略配置了。该策略要与远程接入组中的客户端的VPN能力相匹配

R-2811-A(config)#crypto isakmp policy 10 R-2811-A(config-isakmp)#anthentication pre-share R-2811-A(config-isakmp)#encryption 3des R-2811-A(config-isakmp)#hash md5

R-2811-A(config-isakmp)#group 2 //DH组2密钥 R-2811-A(config-isakmp)#exit

R-2811-A(config)#crypto isakmp keepalive 20 10 R-2811-A(config)#crypto isakmp xauth timeout 45 //XAUTH认证时间周期改为45秒

37

第六章 远程访问模块

6.1.5 动态加密映射

R-2811-A(config)#cryto ipsec transform-set easyclients esp-3des esp-sha-hmac //建立变换集

R-2811-A(config)#cryto dynamic-map dynamic_map 10 //建立动态加密映射,并为远程接入客户端指定变换集

R-2811-A(config-cryto-map)#set transform-set easyclients R-2811-A(config-cryto-map)#exit

6.1.6 静态加密映射

R-2811-A(config)#cryto map static_map client authentication list Vpnauthenticate

//将VPN认证列表(vpnauthenticate)绑定到静态加密映射

R-2811-A(config)#cryto map static_map client authorization list vpngroup1 //将远程接入组vpngroup1关联到静态加密映射

R-2811-A(config)#cryto map static_map client client configuration address respond //响应IKE模式的请求,并将他们初始化到客户端 R-2811-A(config)#cryto map static_map 100 ipsec-isakmp dynamic dynamic_map //远程接入动态加密映射在静态加密映射中被引用 R-2811-A(config)#int f0/0

R-2811-A(config-if)# crypto map static_map //在路由器f0/0端口激活静态映射

6.2 IPSec远程接入EVC设置

下载Cisco EasyVPN Client软件安装,打开主界面如图6-2所示。

38

第六章 远程访问模块

图6-2 Cisco EasyVPN Client主界面

点击“new”创建一个新条目,打开界面如图6-3所示。

图6-3新建VPN连接

设置Easy VPN Server的IP地址以及组名和对应的pre-share key

因为本VPN设计设置了Xauth扩展认证,在连接的过程中会提示输入用户名和口令。

39

第六章 远程访问模块

6.3 VPN访问连接测试

在Packet Tracer模拟VPN连接设置如图6-4所示。

图6-4 VPN连接设置

40