1. <th id="osa2k"><track id="osa2k"></track></th>
        <rp id="osa2k"><strike id="osa2k"><u id="osa2k"></u></strike></rp>
        首頁 > 數據庫 > Access > 正文

        VPN實驗小結-vpn access server的配置

        2020-03-24 19:04:38
        字體:
        來源:轉載
        供稿:網友
        (一)vpn access server的配置

        實驗網絡拓撲:

        pc(vpn client 4.01)---switch---router1720 (vpn access server)

        pc配置:
        ip:10.130.23.242/28
        gw:10.130.23.246
        1720接口ip:
        f0:10.130.23.246/28
        lo0:172.16.1.1/24
        1720的ios為c1700-k93sy7-mz.122-8.T5.bin

        步驟:
        1、配置isakmp policy:
        crypto isakmp policy 1
        encr 3des
        authen pre-share
        group 2
        2、配置vpn client地址池
        cry isa client conf address-pool local pool192
        ip local pool pool192 192.168.1.1 192.168.1.254
        3、配置vpn client有關參數
        cry isa client conf group vclient-group
        ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。
        key vclient-key
        ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。
        pool pool192 ####client的ip地址從這里選取
        ####以上兩個參數必須配置,其他參數還包括domain、dns、wins等,根據情況進行配置。
        4、配置ipsec transform-set
        cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
        5、配置map模板
        cry dynamic-map template-map 1
        set transform-set vclient-tfs ####和第四步對應
        6、配置vpnmap
        cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
        cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數authorization
        cry map vpnmap client conf address respond ####響應client分配地址的請求
        7、配置靜態路由
        ip route 192.168.1.0 255.255.255.0 fastethernet0

        說明幾點:
        (1)因為1720只有一個fastethernet口,所以用router1720上的lo0地址來模擬router內部網絡。
        (2)vpn client使用的ip pool地址不能與router內部網絡ip地址重疊。
        (3)10.130.23.0網段模擬公網地址,172.16.1.0網段用于1720內部地址,192.168.1.0網段用于vpn通道。
        (4)沒有找到設置vpn client獲取的子網掩碼的辦法??磥硎莍os還不支持這個功能。
        (5)關于split tunnel。配置方法:首先,設置access 133 permit ip 172.16.1.0 0.0.0.255 any,允許1720本地網絡數據通過tunnel,然后在第三步驟中添加一個參數:acl 133。

        1720的完整配置:

        VPN1720#sh run
        Building configuration...

        Current configuration : 1321 bytes
        !
        version 12.2
        service timestamps debug uptime
        service timestamps log uptime
        no service password-encryption
        !
        hostname VPN1720
        !
        enable secret 5 {GetProperty(Content)}$aNmA$b0AqzlCr3MfM5XU0IAmED.
        !
        mmi polling-interval 60
        no mmi auto-configure
        no mmi pvc
        mmi snmp-timeout 180
        ip subnet-zero
        !
        !
        no ip domain-lookup
        !
        ip audit notify log
        ip audit po max-events 100
        !
        crypto isakmp policy 1
        encr 3des
        authentication pre-share
        group 2
        crypto isakmp client configuration address-pool local pool192
        !
        crypto isakmp client configuration group vclient-group
        key vclient-key
        domain test.com
        pool pool192
        !
        !
        crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac
        !
        crypto dynamic-map template-map 1
        set transform-set vclient-tfs
        !
        !
        crypto map vpnmap isakmp authorization list vclient-group
        crypto map vpnmap client configuration address respond
        crypto map vpnmap 1 ipsec-isakmp dynamic template-map
        !
        !
        !
        !
        interface Loopback0
        ip address 172.16.1.1 255.255.255.240
        !
        interface FastEthernet0
        ip address 10.130.23.246 255.255.255.240
        speed auto
        crypto map vpnmap
        !
        interface Serial0
        no ip address
        shutdown
        !
        ip local pool pool192 192.168.1.1 192.168.1.254
        ip html' target='_blank'>classless
        ip route 192.168.1.0 255.255.255.0 FastEthernet0
        no ip http server
        ip pim bidir-enable
        !
        !
        !
        !
        line con 0
        line aux 0
        line vty 0 4
        !
        no scheduler allocate
        end

        VPN Client 4.01的配置:
        新建一個connection entry,參數中name任意起一個,host填入vpn access server的f0地址

        10.130.23.246,
        group auahentication中name填vclient-group,password填vclient-key.

        測試:
        (1)在pc上運行VPN client,連接vpn access server。
        (2)ipconfig/all,查看獲取到的ip地址與其他參數。
        (3)在router,show cry isa sa,看連接是否成功。
        (4)從router,ping client已經獲取到的ip地址,通過。
        (5)從client,ping router的lo0配置的地址172.16.1.1,通過。
        (6)查看vpn client軟件的status--statistics,可以看到加密與解密的數據量。
        (7)1720上show cry ip sa, 也可以查看加密與解密的數據量。

        常用調試命令:
        show cry isakmp sa
        show cry ipsec sa
        clear cry sa
        clear cry isakmp
        debug cry isakmp #####這是最常用的debug命令,vpn連接的基本錯誤都可以用它來找到
        debug cry ipsec 本文作者:html教程

        鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

        發表評論 共有條評論
        用戶名: 密碼:
        驗證碼: 匿名發表
        亚洲性爱高潮视频_夜夜爽一区二区三区精品_亚洲国产第一福利一区二区_久久精品亚洲国产av

            1. <th id="osa2k"><track id="osa2k"></track></th>
              <rp id="osa2k"><strike id="osa2k"><u id="osa2k"></u></strike></rp>