前提:目前远程访问VPN的应用范围非常广,与站点到站点式的vpn不同,远程访问vpn一般用于员工在外地出差或者在家里的时候,需要访问公司内部服务器的情形。
实验拓扑:
需求:如图,用一朵浮云来代表出差的员工,R1为网关,R2为运营商路由器,R3代表公司外网路由器,R3上环回口作为公司内网。要求客户端可以访问公司内网地址。
实验步骤:
- 首先进行基本配置,如下
用虚拟机V1模拟客户端
R1
f0/1: 192.168.80.1/24
f0/0: 12.0.0.1/24
R2
f0/1: 12.0.0.2/24
f0/0: 23.0.0.2/24
R3
f0/0: 23.0.0.3/24
l0: 192.168.30.1/24 (公司内网)
在网关上指一条默认给R2
R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2
做PAT
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#ip nat outside
R1(config)#access-list 10 permit any
R1(config)#ip nat inside source list 10 int f0/0 overload
R3也要指一条默认给R2
R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2
首先在虚拟机上测试下能否ping 通R3外网口
能ping通,且debug R3发现PAT已配置成功。
2.配置远程访问VPN
在R3上配置
(1)定义认证授权方式,以及本地用户名密码
aaa new-model
aaa authentication login rz local //定义认证方式为本地认证
aaa authorization network sq local //定义授权方式为本地授权
username test password 0 abc123 //定义本地用户名、密码
(2)定义阶段一策略,客户端软件会内置对应的策略
crypto isakmp policy 1
encr 3des
hash sha
authentication pre-share
group 2
!
(3)定义推送给客户端的组策略(客户端IP不固定,需要由服务器推送配置)
crypto isakmp client configuration group ezvpn //配置组名ezvpn
.
key 123456 //定义预共享密钥
dns 9.9.9.9 //指定内网DNS
pool vip //调用地址池
acl 110 //为客户端指定感兴趣流
save-password //允许客户端可以保存密码
split-dns benet.com //当客户端访问该域后缀时通过内网DNS解析
netmask 255.255.255.0 //指定客户端的子网掩码
!
!
(4)定义阶段二策略
crypto ipsec transform-set bset esp-3des esp-sha-hmac
!
crypto dynamic-map bmap 1
set transform-set bset
reverse-route //启用路由反向注入,为连接成功的客户端产生32位路由
crypto map mymap client authentication list rz //调用认证策略
crypto map mymap isakmp authorization list sq //调用授权策略
crypto map mymap client configuration address respond //响应客户端的地址请求
crypto map mymap 1 ipsec-isakmp dynamic bmap //将动态map关联到静态map
(6)定义地址池,和指定感兴趣流
ip local pool vip 8.8.8.100 8.8.8.200 //定义地址池
access-list 110 permit ip 192.168.30.0 0.0.0.255 any //定义到客户端感兴趣流(公司内网地址),客户端会反转。
配置完成,将mymap应用在R3外网口
interface FastEthernet0/0
crypto map mymap
3.测试结果。
在虚拟机v1上进行模拟客户端登录。
首先需要安装一款软件cisco vpnclient
安装完毕后,将虚拟机的网关设为192.168.80.1
打开vpnclient,设置如下
下面可以右击保存的entry连接了
输入设置的账号密码
连接完毕,可以查看属性。
可以发现,已经获得服务器分配的内网地址8.8.8.100/24了,已经可以访问公司内网了,实验完毕。