使用SDM建立远程接入easy VPNWord文档格式.docx
《使用SDM建立远程接入easy VPNWord文档格式.docx》由会员分享,可在线阅读,更多相关《使用SDM建立远程接入easy VPNWord文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
Step1,配置虚拟机IP地址。
配置虚拟机1网卡类型Host-only,IP地址10.0.2.2,掩码255.255.255.0,网关10.0.2.1,DNS为218.2.135.1。
配置虚拟机2网卡类型Bridged,IP地址10.0.1.2,掩码255.255.255.0,网关10.0.1.1,DNS为218.2.135.1。
Step2,基本路由配置。
配置路由器R1、R2和R3的接口IP地址,并配置静态路由,保证R1、R2和R3之间的公网IP地址可以互通。
R1的配置如下:
R1(config)#intf0/0
R1(config-if)#ipadd10.0.1.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#ipadd12.1.1.1255.255.255.0
R1(config-if)#nocdprun
R1(config)#iproute0.0.0.00.0.0.012.1.1.2
R2的配置如下:
R2(config)#ints1/0
R2(config-if)#ipadd12.1.1.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#ints1/1
R2(config-if)#ipadd23.1.1.2255.255.255.0
R2(config-if)#noshut
注意:
R2上不需要添加任何静态路由,因10网段的地址是被NAT转换成公网地址后才发出来的。
就像Internet上的路由器不会添加某个网络内部私有地址的路由一样,事实也是无法添加的,因使用同一段私有地址的公司太多了。
R3的配置如下:
R3(config)#ints1/0
R3(config-if)#ipadd23.1.1.3255.255.255.0
R3(config-if)#noshut
R3(config)#intfa2/0
R3(config-if)#ipadd10.0.2.1255.255.255.0
R3(config-if)#nocdprun
R3(config)#iproute0.0.0.00.0.0.023.1.1.2
Step3,配置NAT。
R1(config)#intfa0/0
R1(config-if)#ipnatinside
R1(config-if)#ints1/1
R1(config-if)#ipnatoutside
R1(config-if)#exit
R1(config)#access-list1permitipany
R1(config)#ipnatinsidesourcelist1interfaces1/1overload
R3(config-if)#ipnatinside
R3(config-if)#ints1/0
R3(config-if)#ipnatoutside
R3(config)#access-list1permitipany
R3(config)#ipnatinsidesourcelist1interfaces1/0overload
至此,虚拟机1和虚拟机2应该可以ping通所有的公有地址,譬如12.1.1.1,12.1.1.2,23.1.1.2,23.1.1.3。
但虚拟机1和虚拟机2之间无法ping通。
2.配置EasyVPNServer
Step1,配置路由器R1支持SDM。
配置如下:
R1(config-if)#ipadd192.168.1.201255.255.255.0secondary
R1(config)#iphttpserver
Step2,启用AAA。
配置EasyVPNServer需要启用AAA。
R1(config)#aaanew-model
R1(config)#usernameciscoprivilege15passwordcisco123
Step3,启动EasyVPN服务器向导。
在真实机的SDM管理器中,填入路由器R1的IP地址192.168.1.201,打开R1的图形化配置界面,单击SDM主界面工具栏中的“配置”图标→左侧导航栏中的“VPN”图标→中间栏中的“EasyVPN服务器”,单击右侧窗口中的“启动EasyVPN服务器向导”。
打开EasyVPN服务器向导,此向导将执行图中列出的任务。
单击“下一步”继续。
Step4,接口和验证。
如图12-4-17所示,接口栏中选择“未编号对象为”,在下拉列表中选择Serial1/1接口,也就是EasyVPNServer对外提供服务的接口;
在验证栏中,选择“预共享密钥”。
Step5,IKE提案。
保持使用默认的策略集,单击“下一步”继续。
Step6,转换集。
保持使用默认的转换集,单击“下一步”继续。
Step7,组授权和组策略查找。
选择“本地”,因没有配置RADIUS和TACACS+服务器,这里使用本地的用户组。
Step8,用户验证。
选择“启用用户验证”并选择“仅限本地”。
单击“添加用户凭证”按钮,进行用户添加。
譬如输入用户名vpn1,密码111111,权限级别是1,单击“确定”按钮返回,这里的配置相当于下面的命令行:
R1(config)#usernamevpn1password111111缺省的级别是1
读者可以继续添加,也可以单击“下一步”按钮继续。
Step9,组授权和用户组策略。
这一步骤很关键。
单击“添加”按钮,打开“添加组策略”对话框,单击“一般”选项卡,组的名称输入ccnp;
共享密钥输入cisco;
在“地址池信息”,选择“创建新池”,并在起始IP地址10.100.0.1,结束IP地址10.100.0.200,子网掩码255.255.255.0,VPN客户端连上来将被分配地址池中的地址;
允许最大连接数填入100,表示的是不管组中实际有多少用户,但能同时在线的VPN用户不能超过100个。
单击“DNS/WINS”选项卡,填入VPN客户端被分配的DNS或WINS服务器地址。
单击“切分通道”选项卡,更常见的翻译是“隧道分离”,选中“启用切分隧道”,选择“输入受保护子网”后,单击“添加”,添加总部内部的网址,VPN到总部内部的通信流量将被分离出来,也就是被加密保护。
“客户机设置”选项卡中保持默认的全空,不做任何改变。
单击“扩展验证选项”选项卡,每个用户允许的最大登录次数,也就是同一个用户允许同时在线的人数限制,出于记账目的,可以设成1。
选中“保存密码”,VPN客户端第一次连接需要密码,以后客户端连接选项中会多出一个“保存密码”选项。
“客户机更新”选项卡保持默认的全空。
单击“确定”按钮,返回。
单击“下一步”继续,结束EasyVPNServer配置向导。
3.配置EasyVPNClient
Step1,测试。
在虚拟机1上ping虚拟机2的IP地址10.0.1.2,测试连通性。
结果是ping不通。
Step2,安装VPNClient软件。
在虚拟机1上,双击“vpnclient-win-msi-4.8.01.0300-k9.exe”文件,开始安装VPNClient软件。
安装完成后,重新启动虚拟机1。
Step3,配置VPNClient软件。
单击“开始”→“程序”→“CiscoSystemsVPNClient”→“VPNClient”,打开VPNClient软件。
单击工具栏中的“New”按钮,打开VPN连接建立窗口,,在“ConnectionEntry”(连接条目)和“Description”(描述)中随便输入些直观信息;
在“Host”(主机)栏中输入EasyVPNServer服务器的IP地址,这里是12.1.1.1;
组的名称中填入ccnp,密码填入对应的cisco,单击“Save”保存这个连接。
双击界面12-4-25中新建的连接,稍后打开用记验证窗口,输入用户名vpn1和对应的密码111111。
单击“OK”按钮。
Step4,测试。
在虚拟机1上ping虚拟机2的IP地址10.0.1.2,现在可以ping通了。
在虚拟机1的DOS窗口中输入ipconfig,会发现新分配了一个VPN的地址10.100.0.2;
使用routeprint,查看虚拟机1的路由表,如图12-4-30所示,注意最上面一行,是默认路由,出口仍然是网关,第二行是受保护的流量,出口是VPN通道。
在虚拟机2仍然不能ping能虚拟机1的IP地址10.0.2.2,但可以ping通10.100.0.2。
在路由器R1上使用showiproute查看路由表,部分显示如下,注意R1的路由表中多出一条10.100.0.3/32的静态路由,外出接口是Virtual-Access2,从这个接口发出的流量,走的是隧道:
R1#showiproute
Gatewayoflastresortis12.1.1.2tonetwork0.0.0.0
10.0.0.0/8isvariablysubnetted,2subnets,2masks
C10.0.1.0/24isdirectlyconnected,FastEthernet0/0
S10.100.0.3/32[1/0]via0.0.0.0,Virtual-Access2
12.0.0.0/24issubnetted,1subnets
C12.1.1.0isdirectlyconnected,Serial1/1
C192.168.1.0/24isdirectlyconnected,FastEthernet0/0
S*0.0.0.0/0[1/0]via12.1.1.2
4.配置EasyVPNRemote
想一想,如果R3是一个远程办公室,办公室内有很多个用户,该远程办公室没有固定的IP地址,配置站点到站点的VPN配置不太合适,如果所有用户都自己安装VPNClient软件,配置成VPNClient,虽可以安全访问总部内部的资源,但要在每台计算机上配置,工作量太大。
EasyVPNRemote刚好可以解决上面的难题,Remote不需要有固定的IP地址,却可以提供远程办公室很多用户可以同时安全访问总部内部的资源,远程办公室内部的计算机也不需要安装VPNClient软件。
EasyVPNRemote端(R3)的配置步骤如下:
Step1,配置R3支持SDM。
R3(config)#intf0/0
R3(config-if)#ipadd192.168.1.203255.255.255.0
R3(config-if)#exit
R3(config)#iphttpserver
Step2,启动EasyVPNRemote向导。
在真实机的SDM管理器中,填入路由器R3的IP地址192.168.1.203,打开R3的图形化配置界面,单击SDM主界面工具栏中的“配置”图标→左侧导航栏中的“VPN”图标→中间栏中的“EasyVPNRemote”,单击右侧窗口中的“启动EasyVPNRemote向导”。
打开EasyVPNRemote向导,此向导将执行图中列出的任务。
Step3,服务器信息。
填写服务器信息,连接名称随便填入一个直观的名称;
EasyVPN服务器1中填入路由器R1提供VPN服务的接口IP地址12.1.1.1;
操作模式中选择“客户机”。
Step4,验证。
设备验证中验证方式选择“预共享密钥”;
“用户组”填入ccnp,密码填入cisco;
用户验证(扩展验证)中选择“将扩展验证凭证保存至此路由器”;
在“用户名”中填入vpn1,密码填入111111。
Step5,接口和连接设置。
接口栏中,选择通过通道连接至EasyVPN服务器后面的网络的本地网络,这里指的是EasyVPNRemote端的本地网络,这里选择“FastEthernet2/0(10.0.2.0/24)”;
R3连接到Internet的接口是“Serial1/0”;
“连接设置”选择“自动”。
单击“下一步”继续,完成EasyVPNRemote配置向导。
Step6,测试。
本实验中相当于R3是EasyVPNClient,R3首先建立到EasyVPNServer(R1路由器)的连接,R3内部的计算机通过R3共享访问公司总部内的计算机。
虚拟机1不需要使用VPNClient软件,即可ping通10.0.1.2(从虚拟机1到路由器R3之间走的是不安全通道,没有加密和认证,好在是公司内部网络。
从路由器R3到路由器R1之间走的是VPN隧道,虚拟机1借用的是路由器R3的10.100.0.4这个IP地址,实际中可能是地址池的另外一个地址),也可以ping通12.1.1.1,12.1.1.2,23.1.1.2等(走的是NAT,不涉及到隧道,虚拟机1借用的是路由器R3的23.1.1.3这个IP地址)。
可以在虚拟机1上使用tracert命令验证。
路由器R1上多出一条32位的静态路由。
路由器R3上多出一个Loopback(环回)口,该接口的IP地址就相当于VPNClient获取到的IP地址,和R1上多出的那条32位主机路由相同。
虚拟机2没有办法访问到虚拟机1。