EASY VPN实验报告

一、实验拓扑：

IP地址规划： 设备 R4 InetR 接口 LOOPBACK0 LOOPBACK1 E0/0 E0/0 E0/1 IP地址 192.168.4.0/24 192.168.5.0/24 202.103.45.1/30 172.168.5.1/24 202.103.45.2/30 基本配置： R4的配置：

interface Loopback0

ip address 192.168.4.1 255.255.255.0 interface Loopback1

ip address 192.168.5.1 255.255.255.0 interface Ethernet0/0

ip address 202.103.45.1 255.255.255.252 InetR的配置： int e0/0

ip add 172.168.5.1 255.255.255.0 no shu int e0/1

ip add 202.103.45.2 255.255.255.252 no shu

实现全网连通可达：

ip route 0.0.0.0 0.0.0.0 202.103.45.2 全网连通性：

EASY VPN配置：

username user1 password 0 cisco--------------配置本地数据库 aaa new-model--------------开启AAA服务器

aaa authentication login vpn-client local--------------采用AAA认证 aaa authorization network vpn-client local-----------采用AAA审计

ip local pool client-pool 192.168.5.100 192.168.5.200-----------------创建一个地址池（让EZ客户端获取此地址池中的地址） IPSEC的配置： 一阶段：

crypto isakmp policy 10 hash md5

authentication pre-share group 2

1．5阶段的配置：

crypto isakmp client configuration group bluefox---------------创建一个客户验证组组名为bluefox

key cisco---------------密码为cisco

dns 192.168.5.222----------DNS服务器地址

domain bluefox.com--------------域名为bluefox.com

可选

backup-gateway 202.103.45.5----------------备份网关地址 pool client-pool-------------调用地址池 save-password----------保存密码

netmask 255.255.255.0----------------------掩码 二阶段的配置：

crypto ipsec transform-set test esp-3des esp-md5-hmac -----------------传输集的配置（默认为隧道模式）

创建动态MAP：

crypto dynamic-map client-map 10

set transform-set test ----------------调用传输集 reverse-route------------------反向路由注入 创建静态MAP：

crypto map mymap client authentication list vpn-client crypto map mymap isakmp authorization list vpn-client crypto map mymap client configuration address respond

crypto map mymap 10 ipsec-isakmp dynamic client-map----------------利用静态MAP调用动态MAP（动态MAP不能直接应用到接口上） 应用：.

interface Ethernet0/0 crypto map mymap 客户端的配置：

为客户端配置地址为：172.168.5.100

安装EASY VPN思科私有的软件客户端： 安装完成后；双击此软件，将弹出：

单击“NEW”弹出：

按上输入信息，单击“save”

单击“Connect”将弹出如下对话框：

再此对话框中输入本地数据库所创的用户名和密码；单击“OK”。即可成功连接上。 打开CMD看IP地址：

可看到此PC上有两个网卡；其中一个是EZ服务器自动下发的一个。是没有网关的。

可看到第一条默认路由是指向EZ服务器所下发的地址的。就会触发IPSEC的封装。上公网的数据流也会走IPSEC出去是绕总部出去的。 如果在R4上做ACL隧道分离：

access-list 100 permit ip 192.168.5.0 0.0.0.255 any 应用：

crypto isakmp client configuration group bluefox acl 100

那分部访问公网就不需要走隧道绕总部出去了。