cisco3745做Easy VPN

  EASY IPSEC 协商过程:

  1、Remote可以是cisco vpn client,server端可以是路由器,其IOS要求高于或等于12.2(8)T

  2、Easy VPN由client触发,cisco vpn client中内置了多个IKE policy,client触发EasyVPN后,会把内置的IKE policy全部发送到server端

  3、server 把client 发送来的IKE policy 与自己的policy相比较,找到匹配值后成功建立IKESA

  4、配置了的扩展认证Xauth发生作用,server 端将要求client端 发送用户名/口令进行身份认证

  5、身份认证通过后,client将向server请求其余的配置参数,Server向client推送的参数至少要包含分配给client的IP地址

  6、Server进行反向路由注入(Reverse RouteInjeciton,RRI),为刚分配的client端IP地址产生一条静态路由,以便正确地路由发送给client端的数据包。

  7、Client收到配置参数,双方建立IPSec SA

  配置过程:

  1、创建IKE策略集,该策略集至少要能与vpn client的一个内置策略集相匹配,以便在server和client之间建立IKESA

  2、定义要推送给client的组属性,其中包含分配给client的地址池、pre-share key等

  3、定义IPSec变换集(只用于client触发建立IPSec SA时,如果是server触发建立IPSecSA就不需要使用)

  4、启用DPD死亡对端检测

  5、配置Xauth扩展认证

  6、把crypto map应用到路由器端口上

  上述转载自:http://bbs.net130.com/printthread.php?t=163614

  配置如下:

  username test password 702050D480809

  本地认证授权数据库账户

  aaa new-model

  !

  !

  aaa authentication login ciscolocal AAA本地用户接入验证

  aaa authorization network defaultlocal AAA网络接入授权

  !

  crypto isakmp policy 10 定义IKE策略-第一阶段

  hash md5

  authentication pre-share

  group 2

  crypto isakmp keepalive 20 10

  crypto isakmp client configuration address-pool local abc

  crypto isakmp xauth timeout 20

  !

  crypto isakmp client configuration group meeting配置客户端推送策略

  key meet

  pool abc

  acl 101隧道分离ACL

  !

  !

  crypto ipsec transform-set KQ3745 esp-desesp-md5-hmac 创建IPSec变换集

  !

  !

  crypto dynamic-map easyvpn10 由于远程用户是移动的,所以要定义动态MAP

  set transform-set KQ3745

  reverse-route 开启反向路由注入,指向动态分配客户端网络的地址,下一跳为vpn peer地址

  !

  !

  crypto map vpnmap clientauthentication list ciscoXauth认证方式与crypto map关联

  crypto map vpnmap isakmpauthorization list default

  crypto map vpnmap clientconfiguration addressrespond 配置路由器响应client的IP地址申请

  crypto map vpnmap 1ipsec-isakmp dynamic easyvpn将动态crypt map与静态MAP结合

  !

  !

  !

  interface FastEthernet0/0

  ip address 192.168.1.11 255.255.255.0

  duplex auto

  speed auto

  !

  interface FastEthernet0/1

  ip address 11.11.11.11 255.255.255.0

  duplex auto

  speed auto

  crypto map vpnmap接口下应用加密图

  !

  ip local pool abc 10.14.1.110.14.1.200 定义本地为远程用户自动分配的地址池范围

  ip http server

  no ip http secure-server

  ip classless

  ip route 0.0.0.0 0.0.0.0 11.11.11.1

  !

  !

  !

  access-list 101 permit ip 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

  access-list 101 permit tcp 192.168.103.0 0.0.0.255 eq 338910.40.1.0 0.0.0.255 eq 3389

  access-list 101 permit icmp 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

  !

  !

  !

  !

  !

  line con 0

  line aux 0

  line vty 0 4

  login authentication cisco

  !

  end

  配置完成,本人在配置的过程中遇到"Secure vpn connection terminated by theclient.Reason412:the remote peer is no longerresponding"的错误,后来发现时本地AAA网络授权方式和crypto map vpnmap isakmpauthorization中不一样,本配置中我后来全部改为default,连接成功。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注