easy vpn的試驗全過程

實驗名稱	Easy  ××× 軟體用戶端基于IOS路由器的配置
實驗目的	1：在路由器上配置 Easy  ×××   , 實作PC1遠端通路伺服器 ，  并且可以同時通路外網
實驗環境	1：2台路由器  1台PC機   多台伺服器 2：R1内網網段為  10.0.0.0/16      R1和R2相連的網段為 200.1.1.0/30 3：R2充當Internet
網絡拓撲圖
實驗步驟	R1 上的配置 R1(config)#  interface  f0/0 R1(config-if)#  ip   address   10.10.1.254    255.255.255.0 R1(config-if)#   no   shutdown R1(config-if)#    exit R1(config)#  interface   loopbace 0 R1(config)#  ip  address  10.10.0.254    255.255.255.0 R1(config)#   no   shutdown R1(config)#  interface  f1/0 R1(config-if)#  ip   address   200.1.1.1    255.255.255.252 R1(config)#  ip  route  0.0.0.0  0.0.0.0  200.1.1.2 R1(config)#  aaa  new-model [q1]  R1(config)#  aaa  authentication  login  long  local [q2]  R1(config)#  aaa  authorization   network  llong  local [q3]  R1(config)#  username  benet   password  cisco R1(config)#   crypto  isakmp  policy  1 R1(config-isakmp)#  encryption  aes R1(config-isakmp)#  hash  sha R1(config-isakmp)#  authentication   pre-share R1(config-isakmp)#  group  1 R1(config-isakmp)#   exit R1(config)#  ip  local  pool  longpool  192.168.1.1  192.168.1.100 [q4]  R1(config)#   access-list  100  permit  ip  10.10.0 .0   any [q5]  R1(config)#  crypto  isakmp  client  configuration  group  longgroup R1(config-isakmp-group)#  key   benet [q6]  R1(config-isakmp-group)#  pool   longpool [q7]  R1(config-isakmp-group)#  acl   100 [q8]  R1(config-isakmp-group)#  exit [q9]  R1(config)#  crypto  ipset  transform-set  longlong  esp-aes  esp-sha-hmac R1(cfg-crypto-trans)#  exit [q10]  R1(config)#  crypto  dynamic-map  dylong  10 R1(config-crypto-map)#  set  transform-set   longlong R1(config-crypto-map)#  exit [q11]  R1(config)#  crypto  map  lonlon  client  authentication  list  long [q12]  R1(config)#  crypto  map  lonlon  isakmp  authorization  list  llong [q13]  R1(config)#  crypto  map  lonlon  client  configuration  address  respond [q14]  R1(config)#  crypto  map  lonlon  10  ipsec-isakmp  dynamic  dylong [q15]  R1(config-if)#  crypto  map  lonlon [q16]  R2 的配置 R2(config)#  interface  f1/0  R2(config-if)#  ip  address  200.1.1.2  255.255.255.252 R2(config-if)#  no  shutdown R2(config-if)#  exit R2(config)#  interface  f0/0  R2(config-if)#  ip  address  200.2.2.2  255.255.255.252 R2(config)#  interface  f20  R2(config-if)#  ip  address  200.3.3.2  255.255.255.252 用戶端的配置 安裝Cisco  ×××  Client 軟體 1 ：建立一個檔案夾aaa 用于裝Cisco  ×××  Client 4.7.00.0533.exe 2 ：打開aaa 檔案夾  安裝軟體 3 ：安裝完軟體後，重新啟動計算機。 結果為 4 ：打開××× Client 然後回車 出來結果 輕按兩下    它就會去和伺服器××× 建立連結， 需要輸入使用者名和密碼
實驗驗證結果
實驗問題	1：用戶端不能和路由器建立遠端×××
解決方案	1：動态Map不能直接應用在接口上    而是應用在靜态Map中  靜态Map在應用在接口 2：路由器作為Easy  ×××伺服器時 ， 不支援 （1）       采用RSA加密随機數或者DSS證書來做裝置驗證 （2）       DH組1密鑰 （3）       AH用做資料封裝 （4）       傳輸模式用做資料連接配接

 [q1]啟動AAA

 [q2]啟用AAA登入身份驗證， 驗證名為long  驗證方法為 local （本地）

 [q3]啟用AAA網絡授權，授權名為llong  授權方法為 local

 [q4]定義IP位址池。用于給遠端通路使用者配置設定一個内部位址

 [q5]定義ACL用于分離隧道  從路由器角度來定義  如果不定義預設都走VNP

 [q6]建立共享密鑰，用于組的驗證

 [q7]指定位址池

 [q8]建立分離隧道

 [q9]定義Easy  ×××政策組

 [q10]定義傳輸集

 [q11]使用動态Map  在動态Map 中引用傳輸集

 [q12]指定使用 

AAA  authentication  login

來驗證使用者

 [q13]指定使用

AAA  authorization network

來授權使用者

 [q14]指定用戶端發起IKE模式配置 (respond)參數

 [q15]建立靜态Map 引用之前定義的動态Map 

 [q16]把靜态Map 應用在接口上