最簡環境下的IPsec VPN配置舉例
作者:佚名
不管是對于初學者,還是網絡管理員,VPN都是個重點。那么其中的IPSEC-vpn設置也是不少人覺得有困難的地方。這篇文章就簡單舉個例子,講解一下。
對于初學網絡設備配置的人來說VPN是個難點,在配置時總會出現這樣那樣的問題,在網上看到很多配置都是綜合應用,出錯時就不知道那些地方出錯了,下面在Packet tracer5.3下用最簡單的環境進行配置。
第一:首先保證內網能夠訪問外網(地址轉換)
配置PC機IP
school-vpn上作如下配置:
- int F0/0
- ip address 192.168.1.254 255.255.255.0
- ip nat inside
- int F0/1
- ip address 100.1.1.1 255.255.255.0
- ip nat outside
- crypto map school-map(VPN配置完成最后再配)
- p nat inside source list 1 interface FastEthernet0/1 overload 端口復用
- access-list 1 permit 192.168.1.0 0.0.0.255 (允許 192.168.1.0/24網段訪問外網)
- ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 (缺省路由)
ISP上作如下配置:
- int F0/0
- ip address 100.1.1.2 255.255.255.0
- int F0/1
- ip address 200.1.1.1 255.255.255.0
進行測試:內網可以連到外網上
第二:進行IPSEC-vpn配置
school-vpn上作如下配置:
- aaa new-model
- aaa authentication login vpn-a local
- aaa authorization network vpn-o local 進行3A認證
- username vpn password 0 vpn 建立用戶以及密碼
- crypto isakmp policy 10 建立ipsec安全參數配置
- hash md5
- authentication pre-share
- crypto isakmp client configuration group vpng easyvpn的組及密碼配置,vpngroup為組名
- key vpn 群組密碼
- pool vpn-p VPN用戶的地址池
- ip local pool vpn-p 192.168.100.1 192.168.100.10 建立分配給VPN用戶的地址池
- crypto ipsec transform-set school-set esp-3des esp-md5-hmac Ipsec階段2配置
- crypto dynamic-map d-map 10 動態加密圖
- set transform-set school-set
- reverse-route 反向路由注入
- crypto map school-map client authentication list vpn-a Easyvpn用戶的認證授權配置
- crypto map school-map isakmp authorization list vpn-o
- crypto map school-map client configuration address respond
- crypto map school-map 10 ipsec-isakmp dynamic d-map
最后在端口上綁定:
- interface FastEthernet0/1
- crypto map school-map
校外工作人員從外網登錄到內網:
責任編輯:佟健
來源:
51CTO整理
