实验三 Easy VPN的设计与应用3.docx

实验三 Easy VPN的设计与应用3.docx

《实验三 Easy VPN的设计与应用3.docx》由会员分享，可在线阅读，更多相关《实验三 Easy VPN的设计与应用3.docx（18页珍藏版）》请在冰豆网上搜索。

实验三EasyVPN的设计与应用3

实验三EasyVPN的设计与应用

实验目的：

1、掌握如何使用SDM配置EasyVPNServer。

2、使用EasyVPNClient软件连接到EasyVPN服务器。

实验拓扑图：

实验步骤及要求：

1.将R1路由器配置为Web和Telnet服务器，用于测试EasyVPN的客户端的连接，配置如下：

R1（config）#interfacef0/0

R1（config-if）#ipaddress192.168.1.2255.255.255.0

R1（config-if）#noshutdown

R1（config-if）#exit

R1（config）#iproute0.0.0.00.0.0.0192.168.1.1

R1（config）#linevty04

R1（config-line）#nologin

R1（config-line）#exit

R1（config）#

2.配置R2路由器基本配置，以接受SDM的配置：

R2（config）#interfacef0/0

R2（config-if）#ipaddress192.168.1.1255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#exit

R2（config）#

R2（config）#interfacefastEthernet0/1

R2（config-if）#ipaddress202.102.48.1255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#exit

3.为了能够让SDM连接到R2路由器，因此需要在R2上启用https服务，配置如下：

R2（config）#iphttpserver

R2（config）#iphttpsecure-server

R2（config）iphttpauthenticationlocal

R2（config）usernametestprivilege15passwordtest

4.另外，为了避免SDM不能正常工作，需要对安装SDM的PC的活动内容进行启用。

启用的方法是打开IE浏览器，选择“工具”菜单项，继续选择“Internet选项”，在弹出的对话框中，选择“高级”选项卡，找到下图选项并打勾。

中文是：

“允许活动内容在我的计算机上的文件中运行”。

5.启动SDM并且填写需要管理设备IP地址，并单击Launch按钮，如下图显示：

6.然后在SDM的界面中，选择“Configure”，继续选择“VPN”，然后选择“Site-to-SiteVPN”，选择“CreateaSitetoSiteVPN”，点击“Launchtheselectedtask”。

如下面所示：

7.激活AAA，选择“是”，选择EasyVPNServer接入端口和认证方式：

连接公网的接口

预共享密钥

8.配置IKE策略，可以选择“添加”按钮，用户自行添加IKE策略：

9.配置IPSec变换集，可以选择“添加”按钮，用户自行添加IPSec转换集，如下图所示：

10.配置客户端的身份认证方式，为本地用户名密码数据库，也可以配置ACS服务器进行身份认证：

11.添加EasyVPN的用户帐号：

12.创建一个用于VPN客户端连接的帐号，已有“test”账号，再添加“CCNP”账号，密码ciscoccnp

13.添加EasyVPN组策略，配置如下：

14.配置组名称、组最大会话数、认证密码以及客户端连接后的IP地址：

组名：

group-1

密码：

cisco

15.配置客户端的DNS以及WINs的服务器地址：

16.配置隧道分离：

17.配置帐号策略，仅允许单点登录，同时还可以配置是否允许客户端保存密码：

18.查看配置汇总信息：

19.将生成的配置写入到路由器：

20.为了测试EasyVPN的配置正确性，需要在客户端安装CiscoEasyVPNClient软件，同时创建新连接，下面为客户端主界面：

21.建立新的连接图示，并且填写VPNSERVER的主机地址和相应的客户组的组名和认证密码：

22.查看并双击进行连接：

22.组认证成功后，需要提供EasyVPN的客户端的帐号和密码：

23.观察任务栏右下角的图示，确认连接成功：

24.在客户端开启命令行窗口，使用ping命令确认可以与内部网络服务器进行通讯：

25.使用telnet到R1路由器，确认可以连接到内部网络：

再使用URLhttp:

//192.168.1.2，看是否能够访问R1路由器。

26.查看R2路由器生成的配置命令：

R2#showrunning-config

Buildingconfiguration...

……………

hostnameR2

!

aaaauthenticationlogindefaultlocal

aaaauthenticationloginsdm_vpn_xauth_ml_1local

aaaauthorizationnetworksdm_vpn_group_ml_1local

!

aaasession-idcommon

!

usernametestprivilege15password0test

usernameCCNPsecret5$1$8h8K$pqZqXV.YSY72iSj9a1CmN1

!

cryptoisakmppolicy1

encr3des

authenticationpre-share

group2

!

cryptoisakmpclientconfigurationgroupgroup-1

keycisco

dns1.1.1.1

wins2.2.2.2

poolSDM_POOL_1

acl100

max-users10

max-logins1

!

!

cryptoipsectransform-setESP-3DES-SHAesp-3desesp-sha-hmac

!

cryptodynamic-mapSDM_DYNMAP_11

settransform-setESP-3DES-SHA

reverse-route

!

!

cryptomapSDM_CMAP_1clientauthenticationlistsdm_vpn_xauth_ml_1

cryptomapSDM_CMAP_1isakmpauthorizationlistsdm_vpn_group_ml_1

cryptomapSDM_CMAP_1clientconfigurationaddressrespond

cryptomapSDM_CMAP_165535ipsec-isakmpdynamicSDM_DYNMAP_1

!

interfaceFastEthernet0/1

ipaddress202.102.48.1255.255.255.0

duplexhalf

nocdpenable

cryptomapSDM_CMAP_1

!

iplocalpoolSDM_POOL_1172.16.1.1172.16.1.10

iphttpserver

!

access-list100remarkSDM_ACLCategory=4

access-list100permitip192.168.1.00.0.0.255any

end

R2#

27.查看客户端的路由表，确认隧道分离的反向路由注入：

28.查看客户端的IP配置：

C:

\>ipconfig/all

WindowsIPConfiguration

EthernetadapterLocalAreaConnection2:

Connection-specificDNSSuffix.:

Description...........:

CiscoSystemsVPNAdapter

PhysicalAddress.........:

00-05-9A-3C-78-00

DHCPEnabled...........:

No

IPAddress............:

172.16.1.1

SubnetMask...........:

255.255.0.0

DefaultGateway.........:

DNSServers...........:

1.1.1.1

PrimaryWINSServer.......:

2.2.2.2

C:

\>

29.查看R2路由器路由表：

R2#showiproute

Gatewayoflastresortisnotset

C202.102.48.0/24isdirectlyconnected,FastEthernet0/0

172.16.0.0/32issubnetted,1subnets

S172.16.1.1[1/0]via202.102.48.2

C192.168.1.0/24isdirectlyconnected,Serial1/0

R2#

29.实验完成。