Benet3.0 IOS EZ×××实验

标签:benet cisco

 

Benet3.0 IOS EZ×××实验_实验

实验配置步骤参考:
1、设备初始化
2、配置路由
3、配置NAT
4、配置ADSL
5、定义AAA 服务器
6、配置ISAKMP/IKE阶段1
7、配置ISAKMP/IKE阶段2
8、部署EZ×××软件客户端(PC)
9、配置EZ×××硬件客户端(路由器)
10、测试
-----------------------------------------------------------------------------------------
1、设备初始化
Router#conf t
Router(config)#hostname 7206-R1
7206-R1(config)#no ip domain lookup
7206-R1(config)#line 0
7206-R1(config-line)#logg sync
7206-R1(config-line)#exit
7206-R1(config)#int e0/0
7206-R1(config-if)#ip address 172.16.2.1 255.255.255.0
7206-R1(config-if)#no sh
7206-R1(config)#int e0/1
7206-R1(config-if)#ip address 192.168.10.254 255.255.255.0
7206-R1(config-if)#no sh
--------------------------------------------------------------------------------------------
internet(config)#int e0/1
internet(config-if)#ip address 172.16.2.254 255.255.255.0
internet(config-if)#no sh
internet(config)#int e0/1
internet(config-if)#ip address 172.16.1.254 255.255.255.0
internet(config-if)#no sh
2、配置路由
7206-R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.254
3、配置NAT
7206-R1(config)#ip access-list extended NAT      定义什么流量进行NAT转换
7206-R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 1.1.1.0 0.0.0.255     这是×××的流量,所以不进行NAT转换
7206-R1(config-ext-nacl)#permit ip any any
7206-R1(config)#ip nat inside source list NAT interface e0/0 overload
7206-R1(config)#int e0/0
7206-R1(config-if)#ip nat outside
4、配置ADSL
1)PPPOE服务器配置
internet(config)#ip local pool ADSL-POOL 10.1.1.1 10.1.1.10
internet(config)#usernmae adsl password 123
internet(config)#bba-group pppoe global            激活VPDN(虚拟私有拔号网络)特性
internet(config-bba-group)#virtual-template 1     创建虚拟模板(用于动态创建虚拟接口)
internet(config)#int virtual-template 1      定义虚拟模板
internet(config-if)#ip address 2.2.2.2  255.255.255.0      此处IP地址可任意指定
internet(config-if)#encapsulation ppp     封装PPP协议
internet(config-if)#ppp authentication pap
internet(config-if)#peer default ip address pool ADSL-POOL  分配IP地址(从ADSL-POOL选)
internet(config)#int e0/2
internet(config-if)#pppoe enable     激活pppoe特性
internet(config-if)#no sh
2)PC PPPOE客户端配置
 Benet3.0 IOS EZ×××实验_休闲_02
2)路由器PPPOE客户端配置
ROBO(config)#int e0/0
ROBO(config-if)#pppoe enable
ROBO(config-if)#pppoe-client dial-pool-number 1 加入拨号池1
ROBO(config-if)#no sh
ROBO(config)#int dialer 1  ------新建虚拟拔号接口
ROBO(config-if)#ip address negotiated  -----IP地址是通过协商获取的
ROBO(config-if)# encapsulation ppp -----封装ppp协议
ROBO(config-if)#dialer pool 1  -----关联拔号池1
ROBO(config-if)#ppp pap sentname  adsl   password 123
ROBO(config-if)#no sh
---------------------------------------------------------------------------------------------
5、定义AAA(认证/授权/统计)策略 
7206-R1(config)#aaa new-model   开启AAA特性
7206-R1(config)#aaa authentication login REMOTE local     关于login事件的aaa认证策略
7206-R1(config)#aaa authorization network REMOTE local  关于network事件的aaa授权策略
7206-R1(config)#username lucy password 123   新建用户名和密码
6、配置ISAKMP/IKE阶段1(作用:建立×××的管理连接)
1)配置ISAKMP/IKE策略
7206-R1(config)#crypto isakmp policy 1    定义第一阶段ISAKMP/IKE策略
7206-R1(config-isakmp)#hash md5         哈希使用md5
7206-R1(config-isakmp)#encryption 3des   加密方式使用3DES(对称)
7206-R1(config-isakmp)#group 2      EZ×××必须是group 2
7206-R1(config-isakmp)#authentication pre-share 设备验证用预共享密钥
2)定义IP本地地址池
7206-R1(config)#ip local pool IP-POOL  1.1.1.1  1.1.1.10
3)定义ACL用于分离隧道(可选)
7206-R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any
4)定义Easy ×××组及参数
7206-R1(config)#crypto isakmp client configuration group ×××-GROUP
7206-R1(config-isakmp-group)#key 123
7206-R1(config-isakmp-group)#pool IP-POOL     使用IP-POOL地址池
7206-R1(config-isakmp-group)#acl 101                 使用分离隧道技术(可选)   
7206-R1(config-isakmp-group)#exit
7、配置ISAKMP/IKE阶段2(作用:建立×××的数据连接)
 1)、定义Ipsec传输集
 7206-R1(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac
 2)、定义dynamic crypto map(定义动态加密映射)----因为对方的加/解点不能确定、不固定
 7206-R1(config)#crypto dynamic-map D-MAP 10
 7206-R1(config-crypto-map)#set transform-set ESP-T   调用传输集ESP-T
 7206-R1(config-crypto-map)#exit
 3)、定义静态crypto map条目
 7206-R1(config)#crypto map S-MAP client authentication list REMOTE     调用AAA认证策略
 7206-R1(config)#crypto map S-MAP isakmp authorization list REMOTE    调用AAA授权策略
 7206-R1(config)#crypto map S-MAP client configuration address respond  设置地址分配方式
 7206-R1(config)#crypto map S-MAP 1000 ipsec-isakmp dynamic D-MAP   静态MAP调用动态MAP
4)、将crypto map应用到接口
7206-R1(config)#int e0/0
7206-R1(config)#crypto map S-MAP    调用静态加密映射S-MAP
8、部署EZ×××软件客户端(PC)

Benet3.0 IOS EZ×××实验_实验_03
9、配置EZ×××硬件客户端(如:路由器、ASA防火墙)
ROBO(config)#crypto ipsec client ezvpn REMOTE  建一个EZ×××的配置文件         
ROBO(config-crypto-ezvpn)#connect manual         手工方式连接
ROBO(config-crypto-ezvpn)#group ×××-GROUP  key 123     EZ×××组名为×××-GROUP
ROBO(config-crypto-ezvpn)#mode client                 工作模式为client
ROBO(config-crypto-ezvpn)#peer 172.16.2.1     指定EZ×××服务器IP地址
ROBO(config-crypto-ezvpn)#exit
ROBO(config)#int dialer 1
ROBO(config-if)#crypto ipsec client ezvpn REMOTE outside  指定EZ××× outside接口
ROBO(config-if)#int e0/1
ROBO(config-if)#crypto ipsec client ezvpn REMOTE inside   指定EZ××× inside接口
10、测试
show user
show crypto isakmp sa
clear crypto session