内容发布更新时间 : 2024/12/26 14:25:51星期一 下面是文章的全部内容请认真阅读。
第六章 远程访问模块
任务1—为设备的认证和用户认证(XAUTH)定义AAA策略(预共享密钥和RSA签名);
任务2—为远程客户端定义组信息,包括组策略; 任务3—建立IKE阶段1策略;
任务4—建立动态加密映射,用于远程接入连接;
任务5—建立静态加密映射,包括动态加密映射作为一个条目(静态加密映射引用动态加密映射);
任务6—验证配置,确保客户端连接时正确的;
6.1.2 认证策略
要为远程接入执行客户端认证,可以让路由器在本地执行XAUTH认证,首先要激活AAA,而后设置AAA认证和授权,同时还需要为每一个用户配置用户名和密码。
R-2811-A>en R-2811-A#config t
R-2811-A(config)#aaa new-model //激活路由器AAA R-2811-A(config)#username wang secret wang //为每位用户设置用户名密码
R-2811-A(config)#username zhang secret zhang
R-2811-A(config)#aaa authentication login vpnauthenticate local //设置AAA认证
R-2811-A(config)#aaa authorization network vpngroup1 local //设置AAA授权
36
第六章 远程访问模块
6.1.3 设置组策略
在设置了认证策略后,我们可以定义用户的组策略。
R-2811-A(config)#ip local pool remote-pool 192.168.7.100 192.168.7.200
//定义分配给远程接入客户端的地址池192.168.7.100到192.168.7.200 R-2811-A(config)#crypto isakmp client configuration group vpngroup1 //建立远程接入组vpngroup1
R-2811-A(config-isakmp-group)#pool remote-pool R-2811-A(config-isakmp-group)#key myvpnkey //设置预共享密钥myvpnkey
R-2811-A(config-isakmp-group)#exit
6.1.4 IKE阶段1策略
在定义了远程接入组后,可以进行IKE阶段1策略配置了。该策略要与远程接入组中的客户端的VPN能力相匹配
R-2811-A(config)#crypto isakmp policy 10 R-2811-A(config-isakmp)#anthentication pre-share R-2811-A(config-isakmp)#encryption 3des R-2811-A(config-isakmp)#hash md5
R-2811-A(config-isakmp)#group 2 //DH组2密钥 R-2811-A(config-isakmp)#exit
R-2811-A(config)#crypto isakmp keepalive 20 10 R-2811-A(config)#crypto isakmp xauth timeout 45 //XAUTH认证时间周期改为45秒
37
第六章 远程访问模块
6.1.5 动态加密映射
R-2811-A(config)#cryto ipsec transform-set easyclients esp-3des esp-sha-hmac //建立变换集
R-2811-A(config)#cryto dynamic-map dynamic_map 10 //建立动态加密映射,并为远程接入客户端指定变换集
R-2811-A(config-cryto-map)#set transform-set easyclients R-2811-A(config-cryto-map)#exit
6.1.6 静态加密映射
R-2811-A(config)#cryto map static_map client authentication list Vpnauthenticate
//将VPN认证列表(vpnauthenticate)绑定到静态加密映射
R-2811-A(config)#cryto map static_map client authorization list vpngroup1 //将远程接入组vpngroup1关联到静态加密映射
R-2811-A(config)#cryto map static_map client client configuration address respond //响应IKE模式的请求,并将他们初始化到客户端 R-2811-A(config)#cryto map static_map 100 ipsec-isakmp dynamic dynamic_map //远程接入动态加密映射在静态加密映射中被引用 R-2811-A(config)#int f0/0
R-2811-A(config-if)# crypto map static_map //在路由器f0/0端口激活静态映射
6.2 IPSec远程接入EVC设置
下载Cisco EasyVPN Client软件安装,打开主界面如图6-2所示。
38
第六章 远程访问模块
图6-2 Cisco EasyVPN Client主界面
点击“new”创建一个新条目,打开界面如图6-3所示。
图6-3新建VPN连接
设置Easy VPN Server的IP地址以及组名和对应的pre-share key
因为本VPN设计设置了Xauth扩展认证,在连接的过程中会提示输入用户名和口令。
39
第六章 远程访问模块
6.3 VPN访问连接测试
在Packet Tracer模拟VPN连接设置如图6-4所示。
图6-4 VPN连接设置
40