【思科VPN】远程访问VPN简单演示

前提:目前远程访问VPN的应用范围非常广,与站点到站点式的vpn不同,远程访问vpn一般用于员工在外地出差或者在家里的时候,需要访问公司内部服务器的情形。

实验拓扑:

需求:如图,用一朵浮云来代表出差的员工,R1为网关,R2为运营商路由器,R3代表公司外网路由器,R3上环回口作为公司内网。要求客户端可以访问公司内网地址。

实验步骤:

  1. 首先进行基本配置,如下

用虚拟机V1模拟客户端

R1

f0/1: 192.168.80.1/24

f0/0: 12.0.0.1/24

R2

f0/1: 12.0.0.2/24

f0/0: 23.0.0.2/24

R3

f0/0: 23.0.0.3/24

l0: 192.168.30.1/24 (公司内网)

在网关上指一条默认给R2

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

做PAT
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#ip nat outside
R1(config)#access-list 10 permit any
R1(config)#ip nat inside source list 10 int f0/0 overload

R3也要指一条默认给R2

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

首先在虚拟机上测试下能否ping 通R3外网口

能ping通,且debug R3发现PAT已配置成功。

2.配置远程访问VPN

在R3上配置

(1)定义认证授权方式,以及本地用户名密码

aaa new-model
aaa authentication login rz local                //定义认证方式为本地认证
aaa authorization network sq local             //定义授权方式为本地授权
username test password 0 abc123            //定义本地用户名、密码

(2)定义阶段一策略,客户端软件会内置对应的策略

crypto isakmp policy 1
 encr 3des
 hash sha
 authentication pre-share
 group 2
!

(3)定义推送给客户端的组策略(客户端IP不固定,需要由服务器推送配置)

crypto isakmp client configuration group ezvpn            //配置组名ezvpn
.

key 123456                                                             //定义预共享密钥
 dns 9.9.9.9                                                             //指定内网DNS
 pool vip                                                                  //调用地址池
 acl 110                                                                  //为客户端指定感兴趣流
 save-password                                                       //允许客户端可以保存密码
 split-dns benet.com                                                //当客户端访问该域后缀时通过内网DNS解析
 netmask 255.255.255.0                                          //指定客户端的子网掩码
!
!

(4)定义阶段二策略

crypto ipsec transform-set bset esp-3des esp-sha-hmac
!
crypto dynamic-map bmap 1
 set transform-set bset
 reverse-route                                                    //启用路由反向注入,为连接成功的客户端产生32位路由
crypto map mymap client authentication list rz                                //调用认证策略
crypto map mymap isakmp authorization list sq                               //调用授权策略
crypto map mymap client configuration address respond                 //响应客户端的地址请求
crypto map mymap 1 ipsec-isakmp dynamic bmap                          //将动态map关联到静态map

(6)定义地址池,和指定感兴趣流

ip local pool vip 8.8.8.100 8.8.8.200                                               //定义地址池
access-list 110 permit ip 192.168.30.0 0.0.0.255 any           //定义到客户端感兴趣流(公司内网地址),客户端会反转。

配置完成,将mymap应用在R3外网口

interface FastEthernet0/0
 crypto map mymap

3.测试结果。

在虚拟机v1上进行模拟客户端登录。

首先需要安装一款软件cisco vpnclient

安装完毕后,将虚拟机的网关设为192.168.80.1

打开vpnclient,设置如下

下面可以右击保存的entry连接了

输入设置的账号密码

连接完毕,可以查看属性。

可以发现,已经获得服务器分配的内网地址8.8.8.100/24了,已经可以访问公司内网了,实验完毕。

时间: 2024-10-11 04:35:58

【思科VPN】远程访问VPN简单演示的相关文章

ASA上配置L2TP over IPSec VPN 远程访问VPN笔记

1.定义地址池: ip local pool L2TPVPNPool 10.1.2.55-10.1.2.59 mask 255.255.255.0 2.定义组策略: group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes dns-server value 10.1.2.140 10.1.2.35 vpn-tunnel-protocol l2tp-ipsec default-domain value A

思科路由器实现出差员工访问公司内部网络远程访问VPN—Easy VPN

远程访问VPN-EasyVPN 1.       实验拓扑: 使用GNS3模拟器(版本号0.8.6)+c2691-advsecurityk9-mz.124-11.T2.bin +以太网交换机 2.       实验需求: a)       C1连接VMnet1和虚拟机Win7绑定一个网卡模仿Win7系统,C2连接VMnet8和虚拟机Win server2008绑定一个网卡模仿Win server 2008服务器 b)       使用Easy VPN让出差员工在任何地方都可以访问公司内网 c) 

怎么配置VPN远程访问服务器?(图文详解)

VPN(VirtualPrivate Network)即虚拟专用网络,通过一个公用网络(如Internet)建立一个临时的.安全的.模拟的点对点连接.这是一条穿越公用网络的信息隧道,数据可以通过这条隧道在公用网络中安全地传输.借助VPN,企业外出人员可随时连到企业的VPN服务器,进而连接到企业内部网络. VPN工作原理:      *VPN客户端通过Internet将请求VPN发送到VPN服务器(请求拨入服务器) *VPN 服务器请求DC进行身份验证,然后得到授权信息 *VPN 服务器回应VPN

如何远程访问VPN之easy VPN

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 前言:前面已经详细介绍了L2L ipsec VPN,本章将深入探讨远程访问VPN的内容.首先我们对比在建立ipsec连接方面二者之间的区别,从而引出XAUTH.组策略.动态crypto map等概念,以路由器这个搭建最熟悉的环境为载体,详细介绍远程VPN的原理及配置.之后,我们会类比路由器的配置,详细讲解cisco asa防火墙如何实现远

teamviewer vpn + win7 vpn 创建远程访问内网环境

1.teamviewer vpn 这个最简单了,如下选择vpn即可.不过这需要你在安装teamviewer时注意选择这个功能. 连接,记住伙伴ip. 2.win7 vpn设置 内网电脑创建一个"传入连接". 外网电脑创建vpn连接 然后你会发现连接上了,过一会儿外网断了,这就需要下一步设置. 下一步需要添加内外网路由,具体怎么添加路由不具体说明了.使用cmd,route add 命令即可. 大功告成,能同时访问内外网啦.不过,毕竟是通过外网访问内网,网速的看外网的情况了.

LAN-to-LANVPN与远程访问VPN

LAN-to-LANVPN与远程访问VPN 概述 随着公司的发展,LAN-to-LAN VPN的特性满足不了移动办公用户的需求.远程访问VPN,可以满足在外工作员工访问公司内部信息的需求,更好的适应公司业务发展需求.本实验主要介绍LAN-to-LAN VPN与远程访问VPN的结合. 一.实验目的   熟悉LAN-to-LANVPN: 了解并掌握远程访问VPN原理及配置: 掌握LAN-TO-LANVPN与远程访问VPN的结合: 二.实验拓扑 说明: 本实验所有涉及路由器全部用c7200-adven

文档翻译第003篇:Process Monitor帮助文档(Part 3,附Process Monitor的简单演示)

[导入与导出配置] 一旦您配置了一个筛选器,您能够使用"工具(Tools)"菜单中的"保存筛选器(SaveFilters)"菜单项将其保存.Process Monitor将您所保存的筛选器加入到"读取筛选器(Load Filter)"菜单,便于您能够方便地訪问.您也能够选择"工具(Tools)"菜单中的"管理筛选器(Organize Filters)"来打开管理筛选器对话框,以改变筛选器的显示顺序.您能够使

一则简单演示样例看Oracle的“无私”健壮性

Oracle的强大之处就在于他能总帮助让你选择正确的运行计划,即使你给了它错误的指示. 实验: 1. 创建測试表: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmlzYWw=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" > 收集统计信息: 创建B树索引: 2. 运行select id from tbl_plan;查看它的运行计划: 由于创建了

[hadoop系列]Pig的安装和简单演示样例

inkfish原创,请勿商业性质转载,转载请注明来源(http://blog.csdn.net/inkfish ).(来源:http://blog.csdn.net/inkfish) Pig是Yahoo!捐献给Apache的一个项目,眼下还在Apache孵化器(incubator)阶段,眼下版本号是v0.5.0.Pig是一个基于Hadoop的大规模数据分析平台,它提供的SQL-like语言叫Pig Latin,该语言的编译器会把类SQL的数据分析请求转换为一系列经过优化处理的MapReduce运