压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　EASY IPSEC 協(xié)商過程：

　　1、Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T

　　2、Easy VPN由client觸發(fā)，cisco vpn client中內(nèi)置了多個IKE policy，client觸發(fā)EasyVPN后，會把內(nèi)置的IKE policy全部發(fā)送到server端

　　3、server 把client 發(fā)送來的IKE policy 與自己的policy相比較，找到匹配值后成功建立IKESA

　　4、配置了的擴(kuò)展認(rèn)證Xauth發(fā)生作用，server 端將要求client端 發(fā)送用戶名/口令進(jìn)行身份認(rèn)證

　　5、身份認(rèn)證通過后，client將向server請求其余的配置參數(shù)，Server向client推送的參數(shù)至少要包含分配給client的IP地址

　　6、Server進(jìn)行反向路由注入(Reverse RouteInjeciton，RRI)，為剛分配的client端IP地址產(chǎn)生一條靜態(tài)路由，以便正確地路由發(fā)送給client端的數(shù)據(jù)包。

　　7、Client收到配置參數(shù)，雙方建立IPSec SA

　　配置過程：

　　1、創(chuàng)建IKE策略集，該策略集至少要能與vpn client的一個內(nèi)置策略集相匹配，以便在server和client之間建立IKESA

　　2、定義要推送給client的組屬性，其中包含分配給client的地址池、pre-share key等

　　3、定義IPSec變換集(只用于client觸發(fā)建立IPSec SA時，如果是server觸發(fā)建立IPSecSA就不需要使用)

　　4、啟用DPD死亡對端檢測

　　5、配置Xauth擴(kuò)展認(rèn)證

　　6、把crypto map應(yīng)用到路由器端口上

　　上述轉(zhuǎn)載自：http：//bbs.net130.com/printthread.php？t=163614

　　配置如下：

　　username test password 702050D480809

　　本地認(rèn)證授權(quán)數(shù)據(jù)庫賬戶

　　aaa new-model

　　！

　　！

　　aaa authentication login ciscolocal AAA本地用戶接入驗(yàn)證

　　aaa authorization network defaultlocal AAA網(wǎng)絡(luò)接入授權(quán)

　　！

　　crypto isakmp policy 10 定義IKE策略－第一階段

　　hash md5

　　authentication pre-share

　　group 2

　　crypto isakmp keepalive 20 10

　　crypto isakmp client configuration address-pool local abc

　　crypto isakmp xauth timeout 20

　　！

　　crypto isakmp client configuration group meeting配置客戶端推送策略

　　key meet

　　pool abc

　　acl 101隧道分離ACL

　　！

　　！

　　crypto ipsec transform-set KQ3745 esp-desesp-md5-hmac 創(chuàng)建IPSec變換集

　　！

　　！

　　crypto dynamic-map easyvpn10 由于遠(yuǎn)程用戶是移動的，所以要定義動態(tài)MAP

　　set transform-set KQ3745

　　reverse-route 開啟反向路由注入，指向動態(tài)分配客戶端網(wǎng)絡(luò)的地址，下一跳為vpn peer地址

　　！

　　！

　　crypto map vpnmap clientauthentication list ciscoXauth認(rèn)證方式與crypto map關(guān)聯(lián)

　　crypto map vpnmap isakmpauthorization list default

　　crypto map vpnmap clientconfiguration addressrespond 配置路由器響應(yīng)client的IP地址申請

　　crypto map vpnmap 1ipsec-isakmp dynamic easyvpn將動態(tài)crypt map與靜態(tài)MAP結(jié)合

　　！

　　！

　　！

　　interface FastEthernet0/0

　　ip address 192.168.1.11 255.255.255.0

　　duplex auto

　　speed auto

　　！

　　interface FastEthernet0/1

　　ip address 11.11.11.11 255.255.255.0

　　duplex auto

　　speed auto

　　crypto map vpnmap接口下應(yīng)用加密圖

　　！

　　ip local pool abc 10.14.1.110.14.1.200 定義本地為遠(yuǎn)程用戶自動分配的地址池范圍

　　ip http server

　　no ip http secure-server

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 11.11.11.1

　　！

　　！

　　！

　　access-list 101 permit ip 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　　access-list 101 permit tcp 192.168.103.0 0.0.0.255 eq 338910.40.1.0 0.0.0.255 eq 3389

　　access-list 101 permit icmp 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　　！

　　！

　　！

　　！

　　！

　　line con 0

　　line aux 0

　　line vty 0 4

　　login authentication cisco

　　！

　　end

　　配置完成，本人在配置的過程中遇到"Secure vpn connection terminated by theclient.Reason412：the remote peer is no longerresponding"的錯誤，后來發(fā)現(xiàn)時本地AAA網(wǎng)絡(luò)授權(quán)方式和crypto map vpnmap isakmpauthorization中不一樣，本配置中我后來全部改為default，連接成功。