压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　EASY IPSEC 協商過程：

　　1、Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T

　　2、Easy VPN由client觸發，cisco vpn client中內置了多個IKE policy，client觸發EasyVPN后，會把內置的IKE policy全部發送到server端

　　3、server 把client 發送來的IKE policy 與自己的policy相比較，找到匹配值后成功建立IKESA

　　4、配置了的擴展認證Xauth發生作用，server 端將要求client端 發送用戶名/口令進行身份認證

　　5、身份認證通過后，client將向server請求其余的配置參數，Server向client推送的參數至少要包含分配給client的IP地址

　　6、Server進行反向路由注入(Reverse RouteInjeciton，RRI)，為剛分配的client端IP地址產生一條靜態路由，以便正確地路由發送給client端的數據包。

　　7、Client收到配置參數，雙方建立IPSec SA

　　配置過程：

　　1、創建IKE策略集，該策略集至少要能與vpn client的一個內置策略集相匹配，以便在server和client之間建立IKESA

　　2、定義要推送給client的組屬性，其中包含分配給client的地址池、pre-share key等

　　3、定義IPSec變換集(只用于client觸發建立IPSec SA時，如果是server觸發建立IPSecSA就不需要使用)

　　4、啟用DPD死亡對端檢測

　　5、配置Xauth擴展認證

　　6、把crypto map應用到路由器端口上

　　上述轉載自：http：//bbs.net130.com/printthread.php？t=163614

　　配置如下：

　　username test password 702050D480809

　　本地認證授權數據庫賬戶

　　aaa new-model

　?。?/p>

　??！

　　aaa authentication login ciscolocal AAA本地用戶接入驗證

　　aaa authorization network defaultlocal AAA網絡接入授權

　　！

　　crypto isakmp policy 10 定義IKE策略－第一階段

　　hash md5

　　authentication pre-share

　　group 2

　　crypto isakmp keepalive 20 10

　　crypto isakmp client configuration address-pool local abc

　　crypto isakmp xauth timeout 20

　??！

　　crypto isakmp client configuration group meeting配置客戶端推送策略

　　key meet

　　pool abc

　　acl 101隧道分離ACL

　?。?/p>

　　！

　　crypto ipsec transform-set KQ3745 esp-desesp-md5-hmac 創建IPSec變換集

　??！

　　！

　　crypto dynamic-map easyvpn10 由于遠程用戶是移動的，所以要定義動態MAP

　　set transform-set KQ3745

　　reverse-route 開啟反向路由注入，指向動態分配客戶端網絡的地址，下一跳為vpn peer地址

　　！

　　！

　　crypto map vpnmap clientauthentication list ciscoXauth認證方式與crypto map關聯

　　crypto map vpnmap isakmpauthorization list default

　　crypto map vpnmap clientconfiguration addressrespond 配置路由器響應client的IP地址申請

　　crypto map vpnmap 1ipsec-isakmp dynamic easyvpn將動態crypt map與靜態MAP結合

　??！

　　！

　??！

　　interface FastEthernet0/0

　　ip address 192.168.1.11 255.255.255.0

　　duplex auto

　　speed auto

　?。?/p>

　　interface FastEthernet0/1

　　ip address 11.11.11.11 255.255.255.0

　　duplex auto

　　speed auto

　　crypto map vpnmap接口下應用加密圖

　?。?/p>

　　ip local pool abc 10.14.1.110.14.1.200 定義本地為遠程用戶自動分配的地址池范圍

　　ip http server

　　no ip http secure-server

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 11.11.11.1

　??！

　??！

　??！

　　access-list 101 permit ip 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　　access-list 101 permit tcp 192.168.103.0 0.0.0.255 eq 338910.40.1.0 0.0.0.255 eq 3389

　　access-list 101 permit icmp 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　??！

　??！

　?。?/p>

　??！

　??！

　　line con 0

　　line aux 0

　　line vty 0 4

　　login authentication cisco

　　！

　　end

　　配置完成，本人在配置的過程中遇到"Secure vpn connection terminated by theclient.Reason412：the remote peer is no longerresponding"的錯誤，后來發現時本地AAA網絡授權方式和crypto map vpnmap isakmpauthorization中不一樣，本配置中我后來全部改為default，連接成功。