在思科路由器上部署EZVPN(PC Client)

1. 拓扑

1.1 逻辑拓扑

1.2 实验拓扑(GNS3+VMwareworkstation(Win7))

2. 路由器配置

R3:

hostname Internet

interface FastEthernet0/0

ip address 192.168.100.3 255.255.255.0

no shutdown

interface FastEthernet0/1

ip address 100.1.1.1 255.255.255.0

no shutdown

R1:

hostname GW

aaa new-model  // EZVPN Phase 1.5 阶段,引入认证,采用本地认证

aaa authentication login noacs line none //aaa建议配置的策略

aaa authentication login remote local //认证的名字为remote,方式为local

aaa authorization network remote local //授权的名字为remote,方式为local

username user password 0 cisco //local的用户名和密码

crypto isakmp policy 10  //Phase 1阶段

hash md5

authentication pre-share

group 2 //EZVPN必须为group2

!

crypto isakmp client configuration group ipsecgroup  //中心的组策略,名称ipsecgroup,用于向Clinet推送

key cisco

pool ippool //分配的IP地址

acl Split-Tunnel //启用隧道分割,去往特定网段的路由才会被加密

save-password //保存密码,在EZVPN连接时候会出现save password的可选项

backup-gateway www.ezvpn.org  //备份网关,支持域名和IP

backup-gateway 100.1.1.4

crypto isakmp profile ipsecprofile //Phase2 阶段,建议是用profile方式

match identity group ipsecgroup  //匹配组

client authentication list remote //认证的策略

isakmp authorization list remote //授权的策略

client configuration address respond //启用mode configuration,须配

!

!

crypto ipsec transform-set cisco esp-des esp-md5-hmac  //transfrom set

!

crypto dynamic-map dymap 10

set transform-set cisco

set isakmp-profile ipsecprofile

reverse-route //反向路由注入

crypto map cisco 1000 ipsec-isakmp dynamic dymap

interface FastEthernet0/0

ip address 192.168.200.1 255.255.255.0

no shut

interface FastEthernet0/1

ip address 100.1.1.2 255.255.255.0

duplex auto

speed auto

crypto map cisco

no shut

ip local pool ippool 123.1.1.100 123.1.1.200

ip route 0.0.0.0 0.0.0.0 100.1.1.1

ip access-list extended Split-Tunnel //定义隧道分割的流量,其中源地址是要访问的内网的网段

permit ip 192.168.200.0 0.0.0.255 any

line con 0

exec-timeout 0 0

privilege level 15

logging synchronous

login authentication noacs

!

R2:

hostname Server

interface FastEthernet0/0

ip address 192.168.200.2 255.255.255.0

no sh

exit

ip route 0.0.0.0 0.0.0.0 192.168.200.1

WIN7

需要安装Cisco vpn客户端

1.1 IP 配置

1.2 VPN Client 配置

安装完成后,会在网络连接里面多出一个Cisco VPN虚拟网卡。打开client ,选择“NEW”,如图配置,其中password为GW上定义的cisco。选择Save

选择新建的Beijing,然后选择Connect,

连接成功后,查看客户端的IP(未配置隧道分离时的客户端IP信息)

连接成功后,查看客户端的IP(配置隧道分离后的客户端IP)

单击系统右下角的VPN图标,查看VPN的流量信息

启用隧道分离后的路由信息(只是到特定网段)

现在客户端的已经可以连接到内网了,在R3上开启telnet服务,并测试

备份网关截图

VPN 客户端软件下载:http://down.51cto.com/data/1228494

在思科路由器上部署EZVPN(PC Client)

时间: 2024-08-09 08:18:00

在思科路由器上部署EZVPN(PC Client)的相关文章

如何在思科路由器上做端口映射

详细请见附件 1.首先进入到交换机 Telnet 网关 Telnet 192.168.12.1 2.进入路由器 telnet 10.0.0.1 3.进入特权模式 输入en 输入密码 4.show run 查看当前的配置 SH RUN 备份当前信息,写上备份日期. 5.进入全局配置 输入 config terminal 6.写入需要映射的端口 ip nat inside source static tcp192.168.12.59 8088 60.12.222.28 8088 extendable

在思科路由器上配置SSH登录

用户那里对网络安全性进行检查,要求对核心设备采用SSH登录,之前设备采用telnet登录,用户名和密码明文传输,不符合安全性检查要求.其实SSH登录配置很简单,主要分以下几步:1.配置域名SD_Core_R7600(config)#ip domain-name SDCore2.生成SSH KeySD_Core_R7600(config)#crypto key generate rsa The name for the keys will be: SD_Core_R7600.SDCoreChoos

在思科路由器上配置AAA认证

一.实验拓扑 二.地址表 三.AAA配置过程 1.在R1配置本地用户名并为console配置本地AAA认证和VTY连接认证 R1(config)#username admin1 password admin1 R1(config)# aaa new-model R1(config)#aaa authentication login default local R1(config)#line console 0 R1(config-line)#login authentication defaul

配置思科路由器以允许ping并禁止来自非指定用户的trace

说明: 使用本文介绍的方法,可在思科路由器上,放通用户的ping包,而不允许trace(不管是icmp.udp还是tcp类型的),并且放通特定用户的trace. 知识准备: 1.首先需要知道普通的trace是如何工作的.这部分内容就不再介绍了,有兴趣可以看附件.附件中的内容是从思科官网上截取的. 2.根据个人经验总结: ping功能一般是通过ICMP的echo request包来实现的. Windows平台的tracert也是ICMP的echo request包,它与普通ping包的不同点只在于

L2TP VPN在思科IOS路由器上的应用

概述: L2TP同PPTP一样也是一个传统的VPN拨号技术,微软的操作系统默认都带有L2TP的客户端.L2TP(Leary 2 Tunneling Protocol二层隧道协议)和PPTP不同,L2TP是一个标准技术.L2TP源自于两个老的隧道协议Cisco的L2F(layer2 forwarding protocol )和microsoft的PPTP.L2TP本身不提安全机制,它通过IPSEC框架来实现L2TP的安全,即L2TP Over IPSEC.因此,可以配置不加密的L2TP.L2TP支

路由器上实现EasyVPN

实验 实验拓扑图: 实验环境:   在GNS3上面搭建三台路由器和两台PC,规划公司内网和客户端,R1作为公司网关VPN,R3作为客户端网关路由器,充当DHCP和NAT地址等功能,R2作为外网运营商.   实验要求:   在R1做EasyVPN,实现公司出差人员通过外网可以访问公司局域网.   实验步骤: 路由器的各接口和PC机地址: R1(config)#int f0/0 R1(config-if)#ip add 192.168.10.1 255.255.255.0 R1(config-if)

美国思科路由器预置监控后门被中国铲除

微软,思科,硬盘厂家,美国棱镜门监控影子无处不在.不知道思科提供给美国的产品和提供给中国的产品是不是有一样的后门. 2012年,中国中央政府采购中心的名单上共有60款思科产品,而这一数字在2014年采购名单中骤降为零. 美国思科公司的信息产品在中国市场具有极高的占有率,其路由器产品几乎参与了中国所有基础信息网络和重要信息系统的重大项目建设.而一直以来,包括路由器在内的思科信息产品存在严重安全漏洞的报告屡屡被披露.近十年来,仅CVE网站公开发布的有关思科产品的漏洞就多达1300余个,其中,路由器的

思科路由器密码破解

实验名称:思科路由器密码破解 实验拓扑图: 3. 配置思路: 你要破解路由器密码,那路由器上必须有密码,那么首先给路由器上配置密码,其次,再配置,pc ,路由器的的ip地址, 4. 配置步骤: # 配置路由器的远程密码 line vty 0 4 password 123 login exit enable secret 789 # 配置pc的,ip地址,以及路由器的ip地址 ip address  192.168.1.1 255.255.255.0 gateway 192.168.1.254 #

Cisco 路由器上配置Easy虚拟专用网(解决员工出差访问公司内网)

博文目录一.Easy 虚拟化专用网需要解决的问题是什么?二.如何在路由器上实现Easy 虚拟专用网?三.配置路由器上实现Easy 虚拟专用网 由于"Virtual Private Network"(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字"虚拟专用网"来代替. 在之前写过了Cisco路由器IPSec 虚拟专用网原理与详细配置:Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网.这两篇博文都是用于实现总公司和分公司之间建立虚拟专用