首先,要感谢小T,因为阅读完他的PacketTracer 5.2基于AAA的Easy ×××实验之后,然后对此实验中的每行代码做了研究之后,自己试着重新配置了一下这个实验,仅仅是变换了小T实验中的一些参数,老马也就当学习了一回,希望对阅读到的朋友有所帮助。
2》远程路由器的配置
ip route 0.0.0.0 0.0.0.0 200.1.1.1
access-list 1 permit 172.16.1.0 0.0.0.255
ip nat inside source list 1 interface s0/3/0 overload
int f0/0
ip nat inside
int s0/3/0
ip nat outside
3》总部路由器的配置
Router(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.1
Router(config)#aaa authentication login 11 local 命名"11",对它进行认证
Router(config)#aaa authorization network 22 local 命名“22”,对它进行授权
Router(config)#username mxm password 123 创建能够通过此×××的用户名和密码
Router(config)#crypto isakmp policy 10 创建了一个优先级为10的IKE策略,此策略的取值范围是1-10000,值越小,优先级越高……
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share 指定预共享密钥作为认证方法
Router(config-isakmp)#group 2 指定一个模数为1024的modp组,缺省情况:系统缺省选择的是group1
Router(config-isakmp)#exit 上面这三行其实是对策略10 的一个定义
Router(config)#ip local pool 33 192.168.3.1 192.168.3.5 命名一个叫33的地址池,该池中的地址是easy ×××接通以后分配给用户的地址。
Router(config)#crypto isakmp client configuration group ma 定义一个能接入此 easy vpn的组,以及该组的密码和进入该组后分配地址所用的地址池。
Router(config-isakmp-group)#key 123
Router(config-isakmp-group)#pool 33
Router(config-isakmp-group)#exit
Router(config)#crypto ipsec transform-set 44 esp-3des esp-md5-hmac 定义一个名称为“44”的传输模式,以供下面使用
Router(config)#crypto dynamic-map 55 10 定义一个名为“55”的动态图,10 指的是上面定义的策略序号。
Router(config-crypto-map)#set transform-set 44 这个“44”传输模式在上面已经定义过
Router(config-crypto-map)#reverse-route 反向路由注入,为刚分配的地址池的地址产生一条到总部服务器的静态路由。
Router(config-crypto-map)#exit
Router(config)#crypto map 66 client authentication list 11
Router(config)#crypto map 66 isakmp authorization list 22
Router(config)#crypto map 66 client configuration address respond
Router(config)#crypto map 66 10 ipsec-isakmp dynamic 55
以上四行是对Easy ×××的认证,授权配置。
Router(config)#int s0/3/0
Router(config-if)#crypto map 66 往该端口上绑定动态加密图,使得该easy vpn生效
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
4》验证
先点击command prompt 然后ping 100.1.1.2 此操作是在触发easy vpn的连接
然后再点击×××进行连接,如下图
表明已为该远程用户从地址池分配了一个192.168.3.2的地址来接入easy vpn
最后你可以从远程登录总部的FTP服务器