Internet配置:
1 2 3 4 5 6 7 8 | ! interface Ethernet0/0 ip address 100.100.100.80 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes network 0.0.0.0 255.255.255.255 area 0 |
ISP配置:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | ! interface Ethernet0/0 ip address 200.200.200.1 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 10.10.10.1 255.255.255.0 half-duplex ! interface Ethernet0/2 ip address 100.100.100.1 255.255.255.0 half-duplex ! router ospf 1 log-adjacency-changes passive-interface Ethernet0/0 passive-interface Ethernet0/1 network 0.0.0.0 255.255.255.255 area 0 |
GW配置:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 | ! aaa new-model //开启AAA认证服务 ! aaa authentication login noacs line none //创建登陆认证策略,策略名为noacs,策略为先使用线下密码认证,如果线下没有密码就不认证 aaa authentication login xauth local //创建认证列表 aaa authorization network ezvpn-group local //创建授权列表 ! username user1 password 0 test123456 //创建一个XAUTH阶段认证的用户名和密码 ! crypto isakmp policy 10 //定义IPSec第一阶段IKE安全协商 encr aes 256 //设置加密算法 authentication pre-share //设置预共享密钥 hash sha //设置密钥认证算法 group 2 //设置密钥交换方式,注意EzVPN只支持DH组2 lifetime 7200 ! crypto isakmp client configuration group ezvpn-client //配置一个EzVPN组,并对这个组设计策略 key 123456 //用于认证此组名的密码 dns 192.168.1.53 //推送内部DNS服务器给客户端 domain daupon.com //推送内部域名给客户端 pool ezvpn-pool //设置Easy VPN客户端推送的内部全局IP地址池 acl 101 //隧道分离,允许通过用户本地网络上网并访问公司内部网路 access-restrict FastEthernet0/1 //限制这个组的客户只能从FastEthernet 0/1这个物理接口拨入 save-password //配置这个组保存第1.5阶段XAUX认证的用户名和密码,避免用户每次都要输密码 split-dns daupon.com //分割DNS特性,后缀为daupon.com的域名送到内部dns服务器“1.1.1.1”上去解析,其余域名使用运营商提供的DNS进行解析 backup-gateway vpn2.secure.com //把备用VPN网关的配置推送到客户端 backup-gateway 7.7.7.7 //把备用VPN网关的配置推送到客户端 max-users 10 //限制这个组最多只能同时拨入10个客户 max-logins 10 //限制这个组最多支持10个客户同时处于拨入认证状态。防止DOS netmask 255.255.255.0 //地址池子网掩码 banner ^CYou are in security mode ^C //配置这个组拨号成功后的欢迎信息(在配置路由器的时候",show配置的时候显示^C) ! crypto ipsec transform-set ezvpn-set esp-des esp-md5-hmac //定义转换集,用于加密数据 ! crypto dynamic-map dyn-map 10 //创建动态加密图 set transform-set ezvpn-set //把之前定义好的转换集放入动态加密图中 ! crypto map mymap client authentication list ezvpn-list //创建静态加密图全局调用AXUTH认证策略 crypto map mymap isakmp authorization list ezvpn-group //创建静态加密图全局调用ezvpn-group授权组 crypto map mymap client configuration address respond //创建静态加密图启用EzVPN的MODE-CFG特性,用于推送策略给客户 crypto map mymap 10 ipsec-isakmp dynamic dyn-map //由于接口下只能调用静态加密图,所以将动态加密图关联到静态加密图 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly speed auto half-duplex ! interface FastEthernet0/1 ip address 200.200.200.200 255.255.255.0 ip nat outside ip virtual-reassembly speed auto half-duplex crypto map mymap ! ip local pool ezvpn-pool 172.168.1.100 172.168.1.150 //设置地址池,用于分配给EzVPN客户端拨号进来的用户和组 no ip http server no ip http secure-server ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 200.200.200.1 ! ip nat inside source list 101 interface FastEthernet0/1 overload ! access-list 100 permit ip 192.168.1.0 0.0.0.255 any //定义一个扩展ACL,源为公司内部需要被加密访问的网段,目的为ANY,用于隧道分离 access-list 101 deny ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255 //定义内部网络回包给ezvpn客户不做NAT流量 access-list 101 permit ip any any //定义其他可以NAT的流量 no cdp log mismatch duplex ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous login authentication noacs //Console口应用login策略,实现线下保护 line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous login authentication noacs //AUX口应用login策略,实现线下保护 |
Windows7-1:
安装Cisco VPN Client
新建连接,并配置如上图。填上:
Connection Entry:EzVPN
Description:可不填
Host:200.200.200.200
Group Authentication
Name:ezvpn-client
Password:123456
Confirm Passwrod:123456
点击“Save”,并“Connect”。之后跳出下图:
输入:
Username:user1
Password:test123456
连接成功后会有Banner提示“You are in security mode”
Windows7-1配置及测试:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 | C:\Users\wudaipeng>ipconfig /all Windows IP 配置 主机名 . . . . . . . . . . . . . : WIN-882KQRPSVP3 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 DNS 后缀搜索列表 . . . . . . . . : daupon.com 以太网适配器 本地连接 2: 连接特定的 DNS 后缀 . . . . . . . : daupon.com 描述. . . . . . . . . . . . . . . : Cisco Systems VPN Adapter 物理地址. . . . . . . . . . . . . : 00-05-9A-3C-78-00 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::b837:80fa:c0b5:1e4a%17(首选) IPv4 地址 . . . . . . . . . . . . : 172.168.1.100(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : 172.168.1.1 DHCPv6 IAID . . . . . . . . . . . : 369100186 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-18-1E-DF-4F-00-0C-29-CC-63-53 DNS 服务器 . . . . . . . . . . . : 192.168.1.53 TCPIP 上的 NetBIOS . . . . . . . : 已启用 以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection 物理地址. . . . . . . . . . . . . : 00-0C-29-E9-E4-95 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::e502:49b0:9d08:c2db%11(首选) IPv4 地址 . . . . . . . . . . . . : 10.10.10.10(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : 10.10.10.1 DHCPv6 IAID . . . . . . . . . . . : 234884137 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-18-1E-DF-4F-00-0C-29-CC-63-53 DNS 服务器 . . . . . . . . . . . : fec0:0:0:ffff::1%1 fec0:0:0:ffff::2%1 fec0:0:0:ffff::3%1 TCPIP 上的 NetBIOS . . . . . . . : 已启用 隧道适配器 isatap.{52BE49F8-4AE2-414B-9B8E-035178A119EA}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 隧道适配器 本地连接*: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 隧道适配器 isatap.daupon.com: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : daupon.com 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 隧道适配器 6TO4 Adapter: 连接特定的 DNS 后缀 . . . . . . . : daupon.com 描述. . . . . . . . . . . . . . . : Microsoft 6to4 Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 IPv6 地址 . . . . . . . . . . . . : 2002:aca8:164::aca8:164(首选) 默认网关. . . . . . . . . . . . . : DNS 服务器 . . . . . . . . . . . : 192.168.1.53 TCPIP 上的 NetBIOS . . . . . . . : 已禁用 C:\Users\wudaipeng>ping 192.168.1.10 正在 Ping 192.168.1.10 具有 32 字节的数据: 来自 192.168.1.10 的回复: 字节=32 时间=3033ms TTL=63 来自 192.168.1.10 的回复: 字节=32 时间=40ms TTL=63 来自 192.168.1.10 的回复: 字节=32 时间=40ms TTL=63 来自 192.168.1.10 的回复: 字节=32 时间=42ms TTL=63 192.168.1.10 的 Ping 统计信息: 数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失), 往返行程的估计时间(以毫秒为单位): 最短 = 40ms,最长 = 3033ms,平均 = 788ms |