[CCIE那點事]原創:第二集:手把手交你配置VPN之L2L+ezvpn

來源:本站原創 VPN 超過2,264 views圍觀 1條評論

看完第一集有沒有神馬感覺呢,現在有空了來寫第二集.

回顧

本文標題:[CCIE那點事]原創:第一集:手把手交你配置VPN之L2L站點到站點VPN

第二集我們來講講 L2L VPN和EZVPN同時使用的情況.

哪些情況會使用到這種結合的VPN呢.哈哈.當然是遠程辦公了.

現在我們來講講

1.怎么配置L2LVPN  這個上篇已經講了

2.怎么配置EZVPN  

分三階段看的比較清楚.

第0階段.

1.配置AAA

2.配置帳號密碼

第一階段

3.配置IKE策略

4.配置IKE組

第二階段

5.配置交換集 

6.配置動態圖

7.配置客戶端的靜態映射圖

8.應用

9.配置EZVPN的地址池    這個最后配沒關系,最好是放在最后.

10.配置遂道分離的ACL   這個最后配沒關系,最好是放在最后.

上圖才是硬道理

拓撲和上期變化不大,主要是加了臺laptop模擬遠程用戶連接到公司內網進行工作.

這個情形幾乎覆蓋到所有現在的公司.因為出于安全的考慮,所有公司都會采取這種方法.以前的做法是內部OA系統和郵件系統直接放到公

網上,這樣是用戶方遍了,但其來講基本就沒有安全性了,因為存在一種叫暴力破解的方法.這里不多講.咱是搞安全的,不是搞黑客的.

clipboard[3]

hub做為總部的主路由器同時配置 L2L VPN 和EZVPN

b01還是L2L到總部.

實驗目的

laptop1通過EZVPN 連接到總部并獲得 3.1.1.100-200的地址,并且可以訪問 1.1.1.0總部內網.這個段的地址.

HUB配置來了,這次只要動這個路由器就OK了.其它的可以不動.

hostname hub

!

aaa new-model   /*開啟    AAA不熟的請看 :http://www.qdxgqk.live/?p=3008  AAA詳解

!

aaa authentication login ezauthen local         /*連接的驗證方式 本地認證 標識符ezauthen 這個后面會用到.

!

aaa authorization network ezauthor local      /*對訪問網絡用戶的服務請求(包括PPP、SLIP等協議)進行授權

                                                                            /*標識符ezauthor  這個后面會用到.

!

username cisco password 0 cisco

!

————–第一階段配置IKE協商說白了就是配置建立tunnel的信息———-

crypto isakmp policy 100

encr 3des                                

authentication pre-share

group 2                    /*上次沒講.這個玩意是1024加密

!

!

crypto isakmp client configuration group ezgp               /*配置EZVPN的組, EZVPN拔號需要

key cisco123

pool ezpool

ACL XXX   /*這個模擬器不支持,這個地址可以做遂道分離,所以后面導致只能訪問1.1.1.0段.不能訪問2.2.2.0段.

!

!

————–第二階段配置加密方式,對流量進行加密———-

crypto ipsec transform-set newset esp-3des esp-md5-hmac               /*這玩意不變,不清楚的請看上集.

!

crypto dynamic-map mymap 10           /*配置動態圖  

set transform-set newset

!

crypto map map1 client authentication list ezauthen    /*調用ezauthen 對客戶端進行驗證

crypto map map1 isakmp authorization list ezauthor   /*調用authorization對客戶端進行授權

crypto map map1 client configuration address respond   /*這個配置是讓客戶端主動請求服務器才回復相應信息.

crypto map map1 100 ipsec-isakmp dynamic mymap   /*將動態映射 mymap 與靜態映射 map1關聯

!

spanning-tree mode pvst

!

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat outside

duplex auto

speed auto

crypto map map1           /*應用靜態映射.

!

ip local pool ezpool 3.1.1.100 3.1.1.200     /*EZVPN客戶端的地址池.

acl xxx   因為這個版本不支持,所以我也沒有寫.

效果測試

1.進入PC,配置VPN

clipboard[23]

配置信息 都在配置里面.

clipboard[24]

連接成功.

clipboard[25]clipboard[26]

PC1端PING測試 無問題,哈哈,話說這個軟件很好用呢.客戶端都不用配直接就有VPN客戶端.思科還是很人性化的嘛..

clipboard[27]

clipboard[28]

原理神馬的就不講了,網上的版本好多.自己看吧,真的需求的話我就自己寫個好懂的給你們.

第三集預告   adsl + ipsec vpn

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3020轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏