Easy VPN+split tunneling+NAT

Easy VPN+split tunneling+NAT BY JYH 2014.3.25 转发申明,谢谢。

  • Cisco

拓扑图:

目的:1.要求分部所有员工可以访问总部内网192.168.1.0,同时可以访问互联网。

2.要求出差人员及个人电脑通过cisco VPN client软件拨入访问总部内网服务器,同时可以访问互联网。

3.要求总部服务器接受虚拟用户拨入,通过NAT同时可以访问互联网。

接下来大家跟我来通过以上拓扑图进行配置:

Internet路由器配置:(为方便后期粘贴配置)

conf t

interface FastEthernet0/0

ip address 200.1.1.1 255.255.255.0

no shut

exit

interface FastEthernet0/1

ip address 100.1.1.1 255.255.255.0

no shut

exit

interface FastEthernet1/0

ip address 210.1.1.1 255.255.255.0

no shut

exit

interface FastEthernet1/1

ip address 220.1.1.1 255.255.255.0

no shut

exit

======================================================================

总部路由配置:

conf t

interface FastEthernet0/0

ip address 192.168.1.254 255.255.255.0

ip nat inside

exit

interface FastEthernet0/1

ip address 100.1.1.2 255.255.255.0

ip nat outside

exit

ip route 0.0.0.0 0.0.0.0 100.1.1.1

ip nat inside source list 101 interface FastEthernet0/1 overload

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 101 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 101 permit ip 192.168.2.0 0.0.0.255 any

exit

===================================================================================

分部路由配置:

conf t

interface FastEthernet0/0

ip address 200.1.1.2 255.255.255.0

ip nat outside

no shut

exit

interface FastEthernet0/1

ip address 172.16.1.254 255.255.255.0

ip nat inside

no shut

exit

ip route 0.0.0.0 0.0.0.0 200.1.1.1

ip nat inside source list 1 interface FastEthernet0/0 overload

access-list 1 permit 172.16.1.0 0.0.0.255

==================================================================================

配置VPCS:

添加LOOPBACK虚拟网卡--控制面板-添加新硬件--网络配置器,详见下图:

添加VMware虚拟网卡

配置loopback网卡及VMware网卡IP地址:

loopback:

VMware8虚拟网卡需要到虚拟机里配置IP,会多出一个本地连接2:

连接性配置完成。

=============================================================================================

配置总部路由IPSECVPN:

aaa new-model(开启AAA认证)

aaa authentication login eza local (命名eza,对eza认证)

aaa authorization network ezo local(命名ezo,对ezo的事件授权)

username cisco password cisco(创建用户名密码)

crypto isakmp policy 10(Ipsec 阶段一的安全参数配置)

hash md5

authentication pre-share

group 2

ip local pool ez 192.168.2.1 192.168.2.10(Easy VPN 接入后所分配的地址)

crypto isakmp client configuration group myez(Easy VPN的组和密码配置)

key 123

pool ez

acl 100

crypto ipsec transform-set tim esp-3des esp-md5-hmac(IPSec阶段二的配置)

crypto dynamic-map ezmap 10(动态加密图)

set transform-set tim

reverse-route(反向路由注入)

(以下是对Easy VPN的认证,授权配置,list是调用上面的AAA的配置名)

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap(最后,动态加密图必须有静态绑定)

interface FastEthernet0/1

crypto map tom(绑定到接口)

=================================================================================

测试连接:

在虚拟机VMware里安装cisco client VPN--点击New:

拨入成功后测试连接:

ping 192.168.1.1

ping 210.1.1.2

分部VPN拨入总部访问内网192.168.1.254及210.1.1.2应该全通了。

=======================

个人电脑或在外出差同事电脑用VPN client拨入总部内网测试:

ping 192.168.1.1

ping 210.1.1.2

全通。

=====================================================================

总部电脑通NAT访问互联网测试:

ping 210.1.1.2

======================================

通通通,哈哈,本实验完成!

收藏于 2014-03-25

来自于百度空间

时间: 2024-10-13 01:31:33

Easy VPN+split tunneling+NAT的相关文章

基于路由器的Easy VPN配置全过程

实验环境:如下所示,R1是作为内部局域网的网关路由器,使用loopback地址模拟局域网的PC机,通过在R1上面提供的easy VPN服务,使得在公网上面的客户机通过软件的形式来访问VPN的内部局域网.拓扑图中的C1使用的是虚拟机的win 7,链接的是VMnet1网卡.下面还有更详细的介绍. 首先是配置网络的互联互通,ISP运营商只需要配置接口的IP地址,以及loopback模拟互联网的IP地址就可以(略). R3上面首先还是应该先配IP地址,然后指定一条默认的出口路由. 下面就是做DHCP和N

思科路由器实现出差员工访问公司内部网络远程访问VPN—Easy VPN

远程访问VPN-EasyVPN 1.       实验拓扑: 使用GNS3模拟器(版本号0.8.6)+c2691-advsecurityk9-mz.124-11.T2.bin +以太网交换机 2.       实验需求: a)       C1连接VMnet1和虚拟机Win7绑定一个网卡模仿Win7系统,C2连接VMnet8和虚拟机Win server2008绑定一个网卡模仿Win server 2008服务器 b)       使用Easy VPN让出差员工在任何地方都可以访问公司内网 c) 

vpn远程访问之easy vpn的实现

ip等配置如图所示 R1配置 R1#show running-config Building configuration... Current configuration : 861 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname R1 ! ! ! ! !

基于防火墙的Easy VPN配置全过程

实验目的:通过在网关ASA防火墙设备上做Easy VPN,使得远端互联网上的一台客户机能够通过加密隧道来访问局域网的内部资源. 实验拓扑图如下所示.R1是作为局域网内部的一台路由器,C1连接的是VMnet1网卡,使用的是windows7操作系统作为网络上的一台PC机.下面是具体配置步骤. R1上面的配置.只需要配置接口IP地址和一条默认路由即可. R1(config)#int fa0/0 R1(config-if)#ip add 192.168.20.2 255.255.255.0 R1(con

Easy VPN一点都不Easy

模拟实验环境:R1是移动端的小路由具有dhcp.nat的功能,R3为公司内网路由loo 0 192.168.2.1.通过搭建Esay VPN来给客户端方便.快捷.安全的访问公司内网资源.不过Easy VPN分两种一种是路由上的配置一种是防火墙上的配置.Easy VPN虽然名字叫Easy,但那也只是相对于移动客户端的使用者而言,对于搭建者却一点都不Easy.不过相对于IPsec VPN而言却更加的安全方便.主要体现在方便上面,Easy VPN不需要移动端具有固定的IP地址随时随定只要有网的地方就可

Easy VPN

Easy VPN路由器上配置 R1(config)#aaa new-model 定义AAA R1(config)#aaa authentication login vpn_authen localR1(config)#aaa authorization network vpn_author localR1(config)#username cisco password ciscoR1(config)#crypto isakmp policy 10 定义一阶段策略的SA参数 R1(config-i

如何远程访问VPN之easy VPN

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 前言:前面已经详细介绍了L2L ipsec VPN,本章将深入探讨远程访问VPN的内容.首先我们对比在建立ipsec连接方面二者之间的区别,从而引出XAUTH.组策略.动态crypto map等概念,以路由器这个搭建最熟悉的环境为载体,详细介绍远程VPN的原理及配置.之后,我们会类比路由器的配置,详细讲解cisco asa防火墙如何实现远

cisco easy vpn服务器端的架设

先前条件: 1,一个可支持VPN协议的路由器(如果不支持,可能是版本原因,可以用刷系统方式刷新系统). 2,cisco easy vpn客户端,可以在各大网站中下载,但是需要注意其中是否捆绑了别的插件或者木马. 3,一个可用的外网IP. Router配置命令: R(config)# aaa new-model           //ezvpn必须启动AAA R(config)# aaa authentication login default none //避免无法普通登录,如果你架设的rad

VPN技术:NAT对VPN设备造成的问题(VPN流量bypass)

在普通站点到站点VPN中,我们通常要考虑一个问题,那就是NAT对VPN产生的影响.一般的企业中,由一台路由器或防火墙即充当了VPN设备,将两个站点连接起来,又充当了将公司内网的私有地址转换成公网IP地址的作用,这样一来,VPN就会产生问题.这种情况只会对普通的站点到站点VPN产生影响,不会对隧道模式的VPN产生影响,如VTI和GRE Over IPSec.下面来演示问题的产生和解决方法: 实验环境: IOS:Version 12.4(15)T5 ASA 8.4版本 拓扑图如下: 在上面的拓扑图中