|
|
EzVPN client可分为硬件客户端(路由器或VPN 3000作客户端),软件客户端(PC中运行客户端软件),不管是那种情况,在客户端需要的配置非常少,主要配置在服务器端。VPN无法建立起来的原因很多,比如路由,NAT,地址池,验证等等,如果在实验环境中可以通过3个debug命令去发现问题:debug crypto isakmp、debug crypto engine、debug crypto ipsec,而这里以路由器分别作客户端和服务器,完整配置如下:
服务器:
第一步:配置XAUTH
R1(config)#aaa new-model
R1(config)#aaa authentication login ccxx local
R1(config)#username yjj password yjj
R1(config)#enable secret cisco
R1(config)#crypto map test client authentication list ccxx
R1(config)#crypto isakmp xauth timeout 30
第二步:建立IP地址池
R1(config)#ip local pool p1 100.1.1.100 100.1.1.200
第三步:配置组策略查找
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
第四步:为MC推定义组策略
R1(config)#crypto isakmp client configuration group ccie
R1(config-isakmp-group)#key ccie
R1(config-isakmp-group)#dns 100.1.1.10 100.1.1.11
R1(config-isakmp-group)#wins 100.1.1.12 100.1.1.13
R1(config-isakmp-group)#domain yjj.com
R1(config-isakmp-group)#pool p1
R1(config-isakmp-group)#exit
第五步:建立变换集
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
第六步:用RRI建立动态加密映射
R1(config)#crypto dynamic-map dy 1
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#exit
第七步:将MC应用到动态映射
R1(config)#crypto map test client configuration address respond
R1(config)#crypto map test isakmp authorization list ccie
R1(config)#crypto map test 1 ipsec-isakmp dynamic dy
第八步:将动态加密映射应用到接口
R1(config)#int s0/0
R1(config-if)#crypto map test
R1(config-if)#exit
R1(config)#crypto isakmp keepalive 30 3
如果需要遂传某些网段,把这些网段的访问控制列表写出来,在crypto isakmp client configuration group ccie模式下调用即可,它将自动推送到客户端。
客户端:
R2:
crypto ipsec client ezvpn jj
connect auto
mode client
group ccie
key ccie
peer 10.1.1.1
interfac e0/0
crypto ipsec client ezvpn jj inside
interface s0/0
crypto ipsec client ezvpn jj outside
