实验环境:如下所示,R1是作为内部局域网的网关路由器,使用loopback地址模拟局域网的PC机,通过在R1上面提供的easy VPN服务,使得在公网上面的客户机通过软件的形式来访问VPN的内部局域网。拓扑图中的C1使用的是虚拟机的win 7,链接的是VMnet1网卡。下面还有更详细的介绍。
首先是配置网络的互联互通,ISP运营商只需要配置接口的IP地址,以及loopback模拟互联网的IP地址就可以(略)。
R3上面首先还是应该先配IP地址,然后指定一条默认的出口路由。
下面就是做DHCP和NAT地址转换,过程如下所示,注意开启debug ip nat之后需要ping对方的IP地址才能看到地址转换的过程。
此时的win7虚拟机已经从DHCP服务中湖区到了IP地址以及网关等参数,如下图,如果IP地址都配置完成,此时ping 10.0.0.1应该是能够互通的,这是实验的配置节奏,测试一下。
下面就是在R1上面进行操作了,首先默认是必须要有的,然后是开启3A服务,进行3A认证和授权;然后是建立一个用户名和密码;再下面就是第一阶段的管理连接,以及建立管理链接的5要素。
然后定义easy VPN分配给客户端的地址池;定义隧道分离流量,也就是定义需要VPN服务加密传输的流量;然后是建立组策略,具体配置和解释如下图所示;然后就是定义传输集,传输集的定义和IPsec
VPN是一样的。
下面就是建立动态的MAP图,反转路由和调用传输集;然后是的定义静态的MAP图,调用前面定义的3A认证和3A授权,调用动态MAP,然后最后应用至接口就行。如下图。
下面打开win7客户机,下载安装VPN的客户端软件。注意这里的版本,需要根据客户端的版本而定。
安装完成之后,在所有程序里面可以打开cisco的VPN客户端窗口。
打开之后点击上面的New建立链接,入口名称和描述可以随便,host主机填写连接VPN的接口地址,然后输入在R1上定义的组策略的名字、密码然后点击保存。
下面就可以点击链接了,然后是输入在R1上创建的用户名和密码进行链接。
连接成功之后打开命令行,查看IP地址信息,此时已经有两块网卡了,也就是多了一块VPN的虚拟网卡。
下面继续进行测试,ping路由器R1上的loopback地址,也就是内部局域网地址;以及ping ISP上面的loopback地址,作为互联网地址。
实验成功,作为互联网上的一台普通PC机,成功的通过隧道分离技术,分别访问了VPN的内部局域网和internet互联网。
&&人格魅力&& 写给自己的以后