3.Easy_VPN实验

VPN配置实验──Easy VPN实验
一、技术介绍：
Easy VPN是Cisco 独有的远程接入VPN技术。

Easy VPN是在Ipsec VPN建立的两个阶段（IKE阶段和IPSEC阶段）之间多了一个2.5阶段（用户认证阶段等）。

远程接入VPN 的常用作用是为外出办公提供很好接入技术。

实验的基本思路：需要3台路由器，第1台路由器做总部VPN网关（Zongbu），第2台路由器模拟Internet网（Internet），第3台路由路模拟远程能上Internet网的路由器（也就是做了NA T上网，yuancheng）。

外出移动办公的笔记本通过能上Internet网的路由器远程Easy VPN连接到总部，并访问总部的web服务器。

二、实验目的：
了解思科Easy VPN的远程接入技术。

三、实验环境：
PC机一台，Packet Tracer5.3模拟器。

四、实验网络拓扑：
实验环境如图所示。

IP地址规划如下：
总部服务器：192.168.1.1/24
总部路由器：fa 0/0 192.168.1.254/24
fa 0/1 100.1.1.2/24
Internet网路由器：fa 0/1 100.1.1.2/24
fa 0/0 200.1.1.1/24
远端路由器：fa 0/0 200.1.1.2/24
fa 0/1 172.16.1.254/24
办公笔记本：172.16.1.1、24
五、实验步骤：
实验的基本配置如下:
总部路由器：
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.2 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 100.1.1.1
Internet路由器：
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.1 255.255.255.0
no shutdown
远端路由器的配置：
interface FastEthernet0/0
ip address 200.1.1.2 255.255.255.0
ip nat outside
no shutdown
interface FastEthernet0/1
ip address 172.16.1.254 255.255.255.0
ip nat inside
no shutdown
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 200.1.1.1
access-list 1 permit 172.16.1.0 0.0.0.255
此时，远端的笔记本能上网，但不能访问总部内的Web服务器。

现在在总部做Easy VPN的配置。

其配置如下：
第一步：配置XAUTH
#开启AAA认证
aaa new-model
#命名eza，对eza认证
aaa authentication login eza local
#命名ezo，对ezo的事件授权
aaa authorization network ezo local
#创建用户名密码
username houxiang password 123
第二步：建立IP地址池
# Easy VPN 接入后所分配的地址
ip local pool ez 192.168.2.1 192.168.2.10
第三步：配置组策略查找
# IPSec阶段一的配置
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
第四步：为MC推定义组策略
# Easy VPN的组和密码配置
crypto isakmp client configuration group myez
key 123
pool ez
第五步：建立变换集
# IPSec阶段二的配置
crypto ipsec transform-set tim esp-3des esp-md5-hmac
第六步：用RRI建立动态加密映射
#动态加密图
crypto dynamic-map ezmap 10
set transform-set tim
#反向路由注入
reverse-route
第七步：将MC应用到动态映射
#list是调用上面的AAA的配置名
#把Xauth认证方式与Crypto Map关联
crypto map tom client authentication list eza
#启用IKE的组策略查询,它将依赖于list后面的名称来查询AAA或者本地的组策略crypto map tom isakmp authorization list ezo
#让VPN服务段响应客户段发起的地址请求
crypto map tom client configuration address respond
#把动态Map与静态Map相关联
crypto map tom 10 ipsec-isakmp dynamic ezmap
第八步：将动态加密映射应用到接口
interface FastEthernet0/1
crypto map tom
Easy VPN的测试：
首先，双击笔记本，打开图，选择Desktop，再下面选择command Pormpt，ping一下总部的公网地址100.1.1.2，通了后再ping内部服务器192.168.1.1，此时是ping不通的，因为我们来没Easy VPN 接入。

其次，我们依然选择Desktop下的VPN，依次输入如下信息：
GroupName：myez
Group key：123
Host IP(server IP)：100.1.1.2
Username：houxiang
Password：123
点击connect，就会提示连接上去，此时会显示下发的IP地址。

（若没马上连上去，在配置没错的前提下，Ipsec VPN协商时，前面几个包是不通的，解决方法，在ping一下100.1.1.2，再连接Easy VPN）。

最后，我们访问web服务器，选择Desktop下的Web Browser，输入IP：192.168.1.1即可访问到web服务器.。