Ez××× on Router

拓扑:

Ez××× on Router

配置:

=====================Hub===================

hostname Hub

aaa new-model

aaa authentication login noaaa line none

aaa authentication login *** local

aaa authorization network *** local 

username cisco secret cisco

crypto isakmp policy 10

 hash md5

 authentication pre-share

 group 2

crypto isakmp client configuration group ccie

 key cisco

 dns 192.168.1.251

 wins 192.168.1.250

 domain cisco.com

 pool ***-pool

 acl 101

crypto isakmp profile cisco

   match identity group ccie

   client authentication list ***

   isakmp authorization list ***

   client configuration address respond

crypto ipsec transform-set cisco esp-des esp-md5-hmac 

crypto dynamic-map cisco 10

 set transform-set cisco 

 set isakmp-profile cisco

 reverse-route

crypto map cisco 10 ipsec-isakmp dynamic cisco 

interface Loopback0

 ip address 1.1.1.1 255.255.255.0

interface FastEthernet0/0

 ip address 202.1.1.1 255.255.255.0

   crypto map cisco

ip local pool ***-pool 172.16.1.1 172.16.1.10

no ip http server

no ip http secure-server

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

access-list 101 permit ip 1.1.1.0 0.0.0.255 any

==========================R2======================

hostname R2

interface FastEthernet0/0

 ip address 202.1.1.2 255.255.255.0

 ip nat outside

 ip nat enable

 ip virtual-reassembly

interface FastEthernet1/0

 ip address 192.168.1.254 255.255.255.0

 ip nat inside

 ip nat enable

 ip virtual-reassembly

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

ip nat source list nat interface FastEthernet0/0 overload

ip access-list extended nat

 permit ip 192.168.1.0 0.0.0.255 any

=====================R3=====================硬件××× Client

hostname R3

ip name-server 192.168.1.251

crypto ipsec client ez*** EZ×××

 connect manual

 group ccie key cisco

 mode network-extension

 peer 202.1.1.1

 xauth userid mode interactive

interface Loopback0

 ip address 3.3.3.3 255.255.255.0

 crypto ipsec client ez*** EZ××× inside

interface FastEthernet0/0

 ip address 202.1.1.3 255.255.255.0

 crypto ipsec client ez*** EZ×××

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

ip nat source list nat interface FastEthernet0/0 overload

ip access-list extended nat

 permit ip 3.3.3.0 0.0.0.255 any

Ez*** softclient

第一个包:aggressive

 Ez××× on Router

Phase 1.5 为 Config Mode

Phase 2 为 Quick Mode

Ez××× on Router

 

全过程

貌似6个包

Ez××× on Router

隧道分离模式

Ez××× on Router

Ez*** HardClient

Client Mode

Ez××× on Router

network-extention

Ez××× on Router

network-extention模式使用本来的地址,这样就解决了client模式不能和局域网机器通信问题