easy vpn的试验全过程

实验名称	Easy  ××× 软件客户端基于IOS路由器的配置
实验目的	1：在路由器上配置 Easy  ×××   , 实现PC1远程访问服务器 ，  并且可以同时访问外网
实验环境	1：2台路由器  1台PC机   多台服务器 2：R1内网网段为  10.0.0.0/16      R1和R2相连的网段为 200.1.1.0/30 3：R2充当Internet
网络拓扑图
实验步骤	R1 上的配置 R1(config)#  interface  f0/0 R1(config-if)#  ip   address   10.10.1.254    255.255.255.0 R1(config-if)#   no   shutdown R1(config-if)#    exit R1(config)#  interface   loopbace 0 R1(config)#  ip  address  10.10.0.254    255.255.255.0 R1(config)#   no   shutdown R1(config)#  interface  f1/0 R1(config-if)#  ip   address   200.1.1.1    255.255.255.252 R1(config)#  ip  route  0.0.0.0  0.0.0.0  200.1.1.2 R1(config)#  aaa  new-model [q1]  R1(config)#  aaa  authentication  login  long  local [q2]  R1(config)#  aaa  authorization   network  llong  local [q3]  R1(config)#  username  benet   password  cisco R1(config)#   crypto  isakmp  policy  1 R1(config-isakmp)#  encryption  aes R1(config-isakmp)#  hash  sha R1(config-isakmp)#  authentication   pre-share R1(config-isakmp)#  group  1 R1(config-isakmp)#   exit R1(config)#  ip  local  pool  longpool  192.168.1.1  192.168.1.100 [q4]  R1(config)#   access-list  100  permit  ip  10.10.0 .0   any [q5]  R1(config)#  crypto  isakmp  client  configuration  group  longgroup R1(config-isakmp-group)#  key   benet [q6]  R1(config-isakmp-group)#  pool   longpool [q7]  R1(config-isakmp-group)#  acl   100 [q8]  R1(config-isakmp-group)#  exit [q9]  R1(config)#  crypto  ipset  transform-set  longlong  esp-aes  esp-sha-hmac R1(cfg-crypto-trans)#  exit [q10]  R1(config)#  crypto  dynamic-map  dylong  10 R1(config-crypto-map)#  set  transform-set   longlong R1(config-crypto-map)#  exit [q11]  R1(config)#  crypto  map  lonlon  client  authentication  list  long [q12]  R1(config)#  crypto  map  lonlon  isakmp  authorization  list  llong [q13]  R1(config)#  crypto  map  lonlon  client  configuration  address  respond [q14]  R1(config)#  crypto  map  lonlon  10  ipsec-isakmp  dynamic  dylong [q15]  R1(config-if)#  crypto  map  lonlon [q16]  R2 的配置 R2(config)#  interface  f1/0  R2(config-if)#  ip  address  200.1.1.2  255.255.255.252 R2(config-if)#  no  shutdown R2(config-if)#  exit R2(config)#  interface  f0/0  R2(config-if)#  ip  address  200.2.2.2  255.255.255.252 R2(config)#  interface  f20  R2(config-if)#  ip  address  200.3.3.2  255.255.255.252 客户端的配置 安装Cisco  ×××  Client 软件 1 ：建立一个文件夹aaa 用于装Cisco  ×××  Client 4.7.00.0533.exe 2 ：打开aaa 文件夹  安装软件 3 ：安装完软件后，重新启动计算机。 结果为 4 ：打开××× Client 然后回车 出来结果 双击    它就会去和服务器××× 建立链接， 需要输入用户名和密码
实验验证结果
实验问题	1：客户端不能和路由器建立远程×××
解决方案	1：动态Map不能直接应用在接口上    而是应用在静态Map中  静态Map在应用在接口 2：路由器作为Easy  ×××服务器时 ， 不支持 （1）       采用RSA加密随机数或者DSS证书来做设备验证 （2）       DH组1密钥 （3）       AH用做数据封装 （4）       传输模式用做数据连接

 [q1]启动AAA

 [q2]启用AAA登录身份验证， 验证名为long  验证方法为 local （本地）

 [q3]启用AAA网络授权，授权名为llong  授权方法为 local

 [q4]定义IP地址池。用于给远程访问用户分配一个内部地址

 [q5]定义ACL用于分离隧道  从路由器角度来定义  如果不定义默认都走VNP

 [q6]建立共享密钥，用于组的验证

 [q7]指定地址池

 [q8]建立分离隧道

 [q9]定义Easy  ×××策略组

 [q10]定义传输集

 [q11]使用动态Map  在动态Map 中引用传输集

 [q12]指定使用 

AAA  authentication  login

来验证用户

 [q13]指定使用

AAA  authorization network

来授权用户

 [q14]指定客户端发起IKE模式配置 (respond)参数

 [q15]建立静态Map 引用之前定义的动态Map 

 [q16]把静态Map 应用在接口上