IPSec ×××-路由器与PC的远程接入【实践闯未来】
路由器与PC的远程接入【实践闯未来】<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
实验拓扑:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
服务器端 配置:
Server#sh run
aaa new-model
!
aaa authentication login default local
aaa authentication login ez*** local【本地认证】
aaa authorization network ez*** local 【授权】
aaa session-id common
username cisco password 0 cisco【xauth 用户名和密码】
!
!
!
crypto isakmp policy 10【阶段一】
encr 3des
authentication pre-share
group 2
hash sha
!
crypto isakmp client configuration group ez***【推给客户端的信息】
key cisco123
dns <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.8.1.10
pool ez***-pool
acl 100
!
!
crypto ipsec transform-set ez*** esp-3des esp-md5-hmac 【阶段二】
!
crypto dynamic-map ez***-map 10【动态加密图】
set transform-set ez***
reverse-route【RRI动态反向静态路由加入技术】
!
crypto map ez*** client authentication list ez***
crypto map ez*** isakmp authorization list ez***
crypto map ez*** client configuration address respond
crypto map ez*** 10 ipsec-isakmp dynamic ez***-map 【绑定动态加密图】
!
interface FastEthernet1/0
ip address 172.16.1.1 255.255.255.0【内部网段】
no sh
duplex half
!
interface FastEthernet2/0
ip address 192.168.200.110 255.255.255.0【公网接口】
no sh
duplex half
crypto map ez***【应用到接口】
!
ip local pool ez***-pool 192.168.10.1 192.168.10.254【分给远程接入客户的地址池】
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet2/0【静态路由】
access-list 100 permit ip 172.16.1.0 0.0.0.255 any【ACL匹配网段】
远程接入端PC设置要求:
下载CISCO 的 ××× Client 软件,并安装。
实验测试效果:
(1) 输入认证 信息。
(2) Client 登录界面。
(3) 输入用户名、密码。
(4) 当在PC端Ping 内网时,显示×××状态情况。
(5) PC端 ipconfig /all 显示结果。
(6)PC端 route print 显示路由条目效果。
实验总结:
1.如用模拟器做实验,不能在本机做远程登录 到模拟器,要到其它电脑 安装客户端来做远程登录。(可能原因:PC把远程获取的IP做网关,ping包 不能返回!)
[如有误解,请提出,方便改正!]
转载于:https://blog.51cto.com/fjxsunmit/139414