经典VPN试验.docx
- 文档编号:4037738
- 上传时间:2022-11-27
- 格式:DOCX
- 页数:51
- 大小:63.36KB
经典VPN试验.docx
《经典VPN试验.docx》由会员分享,可在线阅读,更多相关《经典VPN试验.docx(51页珍藏版)》请在冰豆网上搜索。
经典VPN试验
VPN试验手册
一、vpnaccessserver的配置
网络拓扑:
PC配置:
IPAddress:
10.1.1.1/24
DefaultGateway:
10.1.1.100/24
R1接口ip:
(VPNAccessServer)
FastEthernet0/0:
10.1.1.100/24
Serial1/0:
172.16.1.1/24
R2接口ip:
(PrivateNetwork)
Serial1/0:
172.16.1.2/24
FastEthernet0/0:
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
c2600-jk8o3s-mz.122-8.T5.bin
步骤:
1.配置isakmppolicy:
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
2.配置vpnclient地址池
cryptoisakmpclientconfiguretionaddress-poollocalpool192
iplocalpoolpool192192.168.1.1192.168.1.254
3.配置vpnclient有关参数
cryptoisakmpclientconfigurationgroupvclient-group(vclient-group就是在vpnclient的连接配置中需要输入的groupauthenticationname。
)
keyvclient-key(vclient-key就是在vpnclent的连接配置中需要输入的groupauthenticationpassword。
)
poolpool192(client的ip地址从这里选取。
)
(以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
)
4.配置ipsectransform-set
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
5.配置map模板
crydynamic-maptemplate-map1
settransform-setvclient-tfs(和第四步对应)
6.配置vpnmap
crymapvpnmap1ipsec-isakmpdynamictemplate-map
(使用第五步配置的map模板)
cryptomapvpnmapksakmpauthorizationlistvclient-group
(使用第三步配置的参数authorization)
cryptomapvpnmapclientconfigurationaddressrespond
(响应client分配地址的请求)
7.配置静态路由
iproute192.168.1.0255.255.255.0fastethernet0
说明几点:
(1)vpnclient使用的ippool地址不能与router内部网络ip地址重叠。
(2)10.1.10网段模拟公网地址,172.16.1.0、172.16.2.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
R1的配置:
R1#showrun
Buildingconfiguration..
Currentconfiguration:
1521bytes
!
version12.2
servicetimetampsdebuguptime
sevicetimestampsloguptime
noservicepassword-encryption
!
hostnamer1
!
ipsubnet-zero
!
ipauditnotifylog
ipauditpomax-events100
!
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
cryptoisakmpclientconfigurationaddress-poollocalpool192
!
cryptoisakmpclientconfigurationgroupvclient-group
keyvclient-key
poolpool192
!
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
!
cryptodynamic-maptemplate-map1
settransform-setvclient-tfs
!
cryptomapvpnmapisakmpauthorizationlistvclient-group
cryptomapvpnmapclientconfigurationaddressrespond
cryptomapvpnmap1ipsec-isakmpdynamictemplate-map
!
faxinterface-typefax-mail
mtareceivemaximum-recipients0
!
interfaceEthernet0/0
ipaddress10.1.1.100255.255.255.0
half-duplex
cryptomapvpnmap
!
interfaceSerial1/0
ipaddress172.16.1.1255.255.255.0
nofair-queue
!
routerospf100
log-adjacency-changes
redistributestatic
network10.1.1.00.0.0.255area0
network172.16.1.00.0.0.255area0
!
iplocalpoolpool192192.168.1.1192.168.1.254
ipclassless
iproute192.168.1.0255.255.255.0Ethernet0/0
iphttpserver
ippimbidir-enable
!
callrsvp-sync
!
mgcpprofiledefault
!
dial-peercorcustom
!
linecon0
lineaux0
linevty04
login
!
end
R1#
R2的配置:
R2#
R2#shrun
Buildingconfiguration..
Currentconfiguration:
714bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer2
!
ipsubnet-zero
!
callrsvp-sync
!
interfaceEthernet0/0
ipaddress172.16.2.1255.255.255.0
nokeepalive
half-duplex
!
interfaceSerial1/0
ipaddress172.16.1.2255.255.255.0
clockrate64000
!
routerospf100
log-adjacency-changes
network172.16.1.00.0.0.255area0
network172.16.2.00.0.0.255area0
!
ipclassless
iphttpserver
!
dial-peercorcustom
!
linecon0
lineaux0
linevty04
login
!
end
R2#
VPNClient4.01的配置:
新建一个connectionentry,参数中name任意起一个,host填入vpnaccessserver的f0地址,10.1.1.100,groupauthentication中name填vclient-group,password填vclient-key。
测试:
(1)在pc上运行VPNclient,连接vpnaccessserver。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,showcryisasa,看连接是否成功。
(4)从router,pingclient已经获取到的ip地址,通过。
(5)从client,pingr2的e0/0配置的ip地址172.16.2.1,通过。
(6)查看vpnclient软件的status-statistics,可以看到加密与解密的数据量。
(7)R1上showcryipsa,也可以查看加密与解密的数据量。
常用调试命令:
showcryptoisakmpsa
showcryptoipsecsa
clearcryptosa
clearcryptoisakmp
debugcryptoisakmp(这是最常用的debug命令,vpn连接的基本错误都可以用它来找到)
debugcryptoipsec
二、Vpnaccessserver的配置
网络拓扑:
PC配置:
IPAddress:
10.1.1.1/24
DefaultGateway:
101.1.100/24
R1接口ip:
(PrivateNetwork)
FastEthernet0/0:
10.1.1.100/24
Serial1/0:
172.16.1.1/24
R2接口ip:
(VPNAccessServer)
Serial1/0:
172.16.1.2/24
FastEthernet0/0:
172.16.2.1/24
2610的IOS为c2600-jk9s-mz.122-17.bin
c2600-jk8o3s-mz.122-8.T5.bin
以R2为例:
步骤:
1.配置isakmppolicy:
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
2.配置vpnclient地址池
cryptoisakmpclientconfigurationaddress-poollocalpool192
iplocalpoolpool192192.168.1.1192.168.1.254
3.配置vpnclient有关参数
cryptoisakmpclientconfigurationgroupvclient-group
(vclient-group就是在vpnclient的连接配置中需要输入的groupauthenticationname。
)
keyvclient-key(就是在vpclient的连接配置中需要输入的groupauthenticationpassword。
)
poolpool192(client的ip地址从这里选取)
(以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
)
4.配置ipsectransform-set
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
5.配置map模板
crydynamic-maptemplate-map1
settransform-setvclient-tfs(和第四步对应)
6.配置vpnmap
crymapvpnmap1ipsec-isakmpdynamictemplate-map
(使用第五步配置的map模板)
cryptomapvpnmapisakmpauthorizationlistvclient-group
(使用第三步配置的参数authorization)
cryptomapvpnmapclientconfigurationaddressrespond
(响应client分配地址的请求)
说明几点:
(1)vpnclient使用的ippool地址不能与router内部网络ip地址重叠。
(2)10.1.10网段模拟公网地址,172.16.1.1、172.16.2.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
(3)关于splittunnel。
配置方法:
首先,设置access101permitip10.1.1.00.0.0.255any,允许本地网络数据通过tunnel,然后再第三步骤中添加一个参数:
acl100。
R1的配置:
R1#
R1#shrun
Buildingconfiguration..
Currentconfiguration:
766bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer1
!
ipsubnet-zero
!
callrsvp-sync
!
interfaceEthernet0/0
ipaddress10.1.1.100255.255.255.0
half-duplex
!
interfaceSerial1/0
ipaddress172.16.1.1255.255.255.0
clockrate64000
!
routerospf100
log-adjacency-changes
redistributestatic
network10.1.1.00.0.0.255area0
network172.16.1.00.0.0.255area0
!
ipclassless
iproute192.168.1.0255.255.255.0Ethernet0/0
iphttpserver
!
dial-peercorcustom
!
linecon0
lineaux0
lievty04
login
!
end
R1#
R2的配置:
R2#shrun
Buildingconfiguration..
Currentconfiguration:
1539bytes
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
!
hostnamer2
!
ipsubnet-zero
!
ipauditnotifylog
ipauditpomax-events100
!
cryptoisakmppolicy1
hashmd5
authenticationpre-share
group2
cryptoisakmpclientconfigurationaddress-poollocalpool192
!
cryptoisakmpclientconfigurationgroupvclient-group
keyvclient-key
poolpool192
acl101
!
cryptoipsectransform-setvclient-tfsesp-desesp-md5-hmac
!
cryptodynamic-maptemplate-map1
settransform-setvclient-tfs
!
cryptomapvpnmapisakmpauthorizationlistvclient-group
cryptomapvpnmapclientconfigurationaddressrespond
cryptomapvpnmap1ipsec-isakmpdynamictemplate-map
!
faxinterface-typefax-mail
mtareceivemaximum-recipients0
!
interfaceEthernet0/0
ipaddress172.16.2.1255.255.255.0
nokeepalive
half-duplex
!
interfaceSerial1/0
ipaddress172.16.1.2255.255.255.0
nofair-queue
cryptomapvpnmap
!
routerospf100
logadjacency-changes
network172.16.1.00.0.0.255area0
network172.16.2.00.0.0.255area0
!
iplocalpoolpool192192.168.1.1192.168.1.254
ipclassless
iphttpserver
ippimbidir-enable
!
access-list101permitip172.16.2.00.0.0.255host10.1.1.1
!
callrsvp-sync
!
mgcpprofiledefault
!
dial-peercorcustom
!
linecon0
lineaux0
linevty04
login
!
end
R2#
VPNClient4.01的配置:
新建一个connectionentry,参数中name任意起一个,host填入vpnaccessserver的f0地址10.1.1.100,groupauthentication中name填vclient-group,password填vclient-key。
测试:
(1)在pc上运行VPNclient,连接vpnaccessserver。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,showcryisasa,看连接是否成功。
(4)从router,pingclient已经获取到的ip地址,通过。
(5)从client,pingr2的e0/0配置的ip地址172.16.2.1,通过。
(6)查看vpnclient软件的status-statistics,可以看到加密与解密的数据量。
(7)R1上showcryipsa,也可以查看加密与解密的数据量。
(8)R2上可以创建VPNde连接,但是不能访问内部的172.16.2.0网络。
常用调试命令:
showcryptoisakmpsa
showcryptoipsecsa
clearcryptosa
clearcryptoisakmp
debugcryptoisakmp(这是最常用的debug命令,vpn连接的基本错误都可以用它来找到)
debugcryptoipsec
三、Easyvpnclient的配置(network-extensionmode)
网络拓扑:
VPNClientR3接口IP:
F0/0:
10.1.1.2/24
F0/0:
10.2.2.1/24
VPNAccessServerR1接口IP:
E0/0:
10.1.1.100/24
S1/0:
172.16.1.1/24
PrivateNetworkR2接口IP:
S1/0:
172.16.1.2/24
F0/0:
172.16.2.1/24
PC配置:
IP:
10.1.1.1/28
Gw:
10.1.1.100
R1、R2的IOS为c2600-jk8o3s-mz.122-8.T5.bin
R3的IOS为2600-jk9s-mz.122-15.T7.bin
需要1台带有2个以太网接口,32兆Flash,96兆内存的路由器作VPNClientR3。
步骤:
1.配置R1路由器,参照实验一,设置为vpnserver。
2.配置R3路由器,设置vpnclient参数
cryptoipsecclientezvpnvclient(定义crypto-ezvpnname)
modenetwork-extension(设置为网络扩展模式)
groupvclient-groupkeyvclient-key(设置登录vpnserver的组名与组口令)
peer10.1.1.100(设置vpnserver的ip地址,如果启用dns,则可以用hostname)
connectauto(设置为自动连接。
如果设为手动,则必须使用cryipclient命令来启动vpn通道。
)
ezvpnconnectvclient
local-addressf0/0(设置vpn通道本地地址,选用f0/0,可以保证vpnserver找到它)
3.定义加密数据入口,这里为f0/1
interf0/1
cryipclientezvpnvclientinside
4.定义加密数据出口,这里为连接vpnserver的f0/0
interf0/0
cryipclientezvpnvclientoutside
5.设置ipdhcp服务
(cisco推荐使用dhcp来进行本地网络ip的分配。
此步骤可选。
)
servicedhcp(启动dhcp服务)
ipdhcppooldhcppool(定义dhcppoolname)
network10.2.2.1/24(定义可分配的ip地址段)
default-router10.2.2.1(定义dhcpclient的默认网关)
lease100(设置ip保留时间)
importall(如果配置了上级dhcpserver,则接受其所有参数)
ipdhcpexcluded-address10.2.2.1(将router上的地址排除)
R1的配置:
R1#
R1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 经典 VPN 试验