!

　　mmi polling-interval 60

　　no mmi auto-configure

　　no mmi pvc

　　mmi snmp-timeout 180

　　ip subnet-zero

　　!

　　!

　　no ip domain-lookup

　　!

　　ip audit notify log

　　ip audit po max-events 100

　　!

　　crypto isakmp policy 1

　　encr 3des

　　authentication pre-share

　　group 2

　　crypto isakmp client configuration address-pool local pool192

　　!

　　crypto isakmp client configuration group vclient-group

　　key vclient-key

　　domain test.com

　　pool pool192

　　!

　　!

　　crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac

　　!

　　crypto dynamic-map template-map 1

　　set transform-set vclient-tfs

　　!

　　!

　　crypto map map isakmp authorization list vclient-group

　　crypto map map client configuration address respond

　　crypto map map 1 ipsec-isakmp dynamic template-map

　　!

　　!

　　!

　　!

　　interface Loopback0

　　ip address 172.16.1.1 255.255.255.240

　　!

　　interface FastEthernet0

　　ip address 10.130.23.246 255.255.255.240

　　speed auto

　　crypto map map

　　!

　　interface Serial0

　　no ip address

　　shutdown

　　!

　　ip local pool pool192 192.168.1.1 192.168.1.254

　　ip classless

　　ip route 192.168.1.0 255.255.255.0 FastEthernet0

　　no ip http server

　　ip pim bidir-enable

　　!

　　!

　　!

　　!

　　line con 0

　　line aux 0

　　line vty 0 4

　　!

　　no scheduler allocate

　　end

　　 Client 4.01的配置：

　　新建一個(gè)connection entry，參數(shù)中name任意起一個(gè)，host填入 access server的f0地址10.130.23.246，

　　group auahentication中name填vclient-group，password填vclient-key.

　　5、測(cè)試：

　　(1)在pc上運(yùn)行 client，連接 access server。

　　(2)ipconfig/all，查看獲取到的ip地址與其他參數(shù)。

　　(3)在router，show cry isa sa,看連接是否成功。

　　(4)從router，ping client已經(jīng)獲取到的ip地址，通過(guò)。

　　(5)從client，ping router的lo0配置的地址172.16.1.1，通過(guò)。

　　(6)查看 client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

　　(7)1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

　　6、常用調(diào)試?

　　show cry isakmp sa

　　show cry ipsec sa

　　clear cry sa

　　clear cry isakmp

　　debug cry isakmp #####這是最常用的debug命令，連接的基本錯(cuò)誤都可以用它來(lái)找到

　　debug cry ipsec

　　二、easy client的配置(network-extension mode)

　　實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

　　router3662( client)---switch---router1720 ( access server)

　　pc ( client 4.01)------|

　　3662接口ip:

　　f0/0：10.130.23.244/28

　　f0/1：172.16.2.1/24

　　1720接口ip：

　　f0：10.130.23.246/28

　　lo0：172.16.1.1/24

　　pc配置:

　　ip：10.130.23.242/28

　　gw：10.130.23.246

　　1720的ios為c1700-k93sy7-mz.122-8.T5.bin

　　3662的ios為c3660-jk9o3s-mz.123-1a.bin

　　步驟：

　　1、配置1720路由器，參照實(shí)驗(yàn)一，設(shè)置為 server。

　　2、配置3662路由器，設(shè)置 client參數(shù)

　　cry ip client ez vclient ####定義crypto-ez name

　　mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴(kuò)展模式

　　group vclient-group key vclient-key ####設(shè)置登錄 server的組名與組口令

　　peer 10.130.23.246 ####設(shè)置 server的ip地址，如果啟用dns，則可以用hostname

　　connect auto ####設(shè)置為自動(dòng)連接。如果設(shè)為手動(dòng)，則必須使用cry ip client ez connect vclient命令來(lái)啟動(dòng)通道。

　　local-address F0/0 ####設(shè)置通道本地地址，選用f0/0，可以保證 server找到它

　　3、定義加密數(shù)據(jù)入口，這里為f0/1

　　inter f0/1

　　cry ip client ez vclient inside

　　4、定義加密數(shù)據(jù)出口，這里為連接 server的f0/0

　　inter f0/0

　　cry ip client ez vclient outside

　　5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址

　　ip route 172.16.2.0 255.255.255.0 f0

　　6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來(lái)進(jìn)行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

　　service dhcp ####啟動(dòng)dhcp 服務(wù)

　　ip dhcp pool dhcppool ####定義dhcp pool name

　　network 172.16.2.0 /24 ####定義可分配的IP地址段

　　default-router 172.16.2.1 ####定義dhcp client的默認(rèn)網(wǎng)關(guān)

　　lease 1 0 0 ####設(shè)置ip保留時(shí)間

　　import all ####如果配置了上級(jí)dhcp，server，則接受其所有參數(shù)

　　ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

　　測(cè)試：

　　(1)配置好3662上的 client后，自動(dòng)進(jìn)行連接?？梢酝ㄟ^(guò)debug cry isa、deb cry ip client ez、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

　　(2)在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒(méi)有進(jìn)行加密。

　　(3)在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

　　(4)在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

　　(5)在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過(guò)加密。

　　(6)啟動(dòng)pc client，ping 172.16.1.1，通過(guò)。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

　　(7)在pc client，ping 172.16.2.1，通過(guò)。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上show cry isa sa，可以看到兩個(gè)連接。

　　(8)在3660上擴(kuò)展ping，source 172.16.2.1 destination 192.168.1.10(pc client獲得的ip)，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

　　說(shuō)明：

　　(1)不同平臺(tái)，不同ios版本，easy client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ez來(lái)查看與驗(yàn)證。

　　(2)network-extension模式， server和 client兩端的內(nèi)部網(wǎng)絡(luò)之間可以通過(guò)ip地址互相訪問(wèn)。

　　(3)以上配置均沒(méi)有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實(shí)驗(yàn)(一)，設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實(shí)現(xiàn)測(cè)試(1)-(5)。要實(shí)現(xiàn)Pc client和3662 client 互通，即測(cè)試(6)-(8)，還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

　　(4)修改1720配置后，需要復(fù)位通道，才可以起作用。在pc端，是通過(guò)disconnect再connect來(lái)實(shí)現(xiàn);在3662上，通過(guò)clear cry ip client ez來(lái)復(fù)位。

　　常用調(diào)試命令：

　　show cry ip client ez

　　clear cry ip client ez

　　deb cry ip client ez

　　show cry ip sa

　　deb cry isa

　　show cry isa sa

　　三、easy client的配置(client mode)

　　實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渫瑢?shí)驗(yàn)(二)

　　實(shí)驗(yàn)步驟參考實(shí)驗(yàn)(二)，其中第二步，將mode network-extension改為mode client。

　　測(cè)試：

　　(1)配置好3662上的 client后，自動(dòng)進(jìn)行連接?？梢酝ㄟ^(guò)debug cry isa、deb cry ip client ez、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

　　(2)在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，不通。

　　(3)在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因?yàn)?662端ip數(shù)據(jù)流是通過(guò)nat進(jìn)行傳輸。

　　(4)在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上打開(kāi)deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19( client 從 server獲取的ip地址)。

　　(5)在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。

　　說(shuō)明：

　　(1)client 模式， client端內(nèi)部網(wǎng)絡(luò)采用nat方式與 server進(jìn)行通信， client端網(wǎng)絡(luò)可以訪問(wèn)server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問(wèn)client端內(nèi)部網(wǎng)絡(luò)資源。

　　(2)client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

　　(3)client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

　　(4)關(guān)于split tunnel，client模式的easy client，與pc的 client類(lèi)似，配置split tunnel的方法也相同。

　　常用調(diào)試命令：

　　show cry ip client ez

　　clear cry ip client ez

　　deb cry ip client ez

　　show cry ip sa

　　deb cry isa

　　show cry isa sa

　　show ip nat statistics

　　四、site to site 的配置(采用pre-share)

　　實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

　　router3662---switch---router1720

　　3662接口ip:

　　f0/0：10.130.23.244/28

　　f0/1：172.16.2.1/24

　　1720接口ip：

　　f0：10.130.23.246/28

　　lo0：172.16.1.1/24

　　1720的ios為c1700-k93sy7-mz.122-8.T5.bin

　　3662的ios為c3660-jk9o3s-mz.123-1a.bin

　　步驟：

　　以1720為例進(jìn)行配置

　　(1)配置靜態(tài)路由 ####在配置之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問(wèn)。

　　ip route 172.16.2.0 255.255.255.0 10.130.23.244

　　(2)定義加密數(shù)據(jù)的acl

　　access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

　　(3)定義isakmp policy

　　cry isa policy 1

　　authentication pre-share ####采用pre-share key進(jìn)行驗(yàn)證

　　####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對(duì)應(yīng)參數(shù)配置必須相同。

　　(4)定義pre-share key

　　cry isa key pre-share-key address 10.130.23.244

　　####其中pre-share-key 為key，兩個(gè)路由器上要一樣

　　####其中10.130.23.244為peer路由器的ip地址。

　　(5)定義transform-set

　　cry ipsec transform-set -tfs esp-3des esp-sha-hmac

　　####其中-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?/p>

　　mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選

　　(6)定義crypto map entry

　　cry map -map 10 ipsec-isakmp

　　####其中-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

　　match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對(duì)應(yīng)

　　set peer 10.130.23.244 ####定義peer路由器的ip

　　set transform-set -tfs ####與第?*蕉雜?br />; ####如果一個(gè)接口上要對(duì)應(yīng)多個(gè) peer，可以定義多個(gè)entry，每個(gè)entry對(duì)應(yīng)一個(gè)peer

　　(7)將crypto map應(yīng)用到接諫?br />; inter f0 #####通道入口

　　cry map -map

　　(8)同樣方法配置3662路由器。

　　1720的完整配置：

　　1720#sh run

　　Building configuration...

　　Current configuration : 1217 bytes

　　!

　　version 12.2

　　service timestamps debug uptime

　　service timestamps log uptime

　　no service password-encryption

　　!

　　hostname 1720

　　!

　　logging buffered 4096 debugging

　　no logging rate-limit

　　enable password CISCO

　　!

　　username vclient1 password 0 vclient1

　　mmi polling-interval 60

　　no mmi auto-configure

　　no mmi pvc

　　mmi snmp-timeout 180

　　ip subnet-zero

　　!

　　!

　　ip domain-name fjbf.com

　　!

　　ip audit notify log

　　ip audit po max-events 100

　　!

　　crypto isakmp policy 1

　　encr 3des

　　authentication pre-share

　　group 2

　　crypto isakmp key pre-share-key address 10.130.23.244

　　!

　　!

　　crypto ipsec transform-set -tfs esp-3des esp-sha-hmac

　　!

　　crypto map -map 10 ipsec-isakmp

　　set peer 10.130.23.244

　　set transform-set -tfs

　　match address 144

　　!

　　!

　　!

　　!

　　interface Loopback0

　　ip address 172.16.1.1 255.255.255.0

　　!

　　interface FastEthernet0

　　ip address 10.130.23.246 255.255.255.240

　　speed auto

　　crypto map -map

　　!

　　interface Serial0

　　no ip address

　　encapsulation ppp

　　no keepalive

　　no fair-queue

　　!

　　ip classless

　　ip route 172.16.2.0 255.255.255.0 10.130.23.244

　　no ip http server

　　ip pim bidir-enable

　　!

　　!

　　access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

　　!

　　!

　　line con 0

　　exec-timeout 0 0

　　speed 115200

　　line aux 0

　　line vty 0 4

　　login

　　!

　　end　　以上內(nèi)容來(lái)自互聯(lián)網(wǎng)，希望對(duì)大家有所幫助。