CCNP(ISCW)实验：配置Cisco IOS Easy *** Server Client

CCNP(ISCW)实验：配置Cisco IOS Easy *** Server Client

第二步：定义 client 认证方式为本地和认证组名称R1(config)#aaa authentication login client1 localR1(config)#aaa authorization network ***client2 local

第三步：配置IKE的第一个阶段的策略集，在拨号时会协商这个策略R1(config)#crypto isakmp policy 1R1(config-isakmp)#en 3R1(config-isakmp)#au pr R1(config-isakmp)#g 2

第四步：配置客户端所得的地址范围和隧道分离的范围地址R1(config)#ip local pool khddddzfw 192.168.100.1 192.168.100.2//客户端成功登录后，得到的地址R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any//隧道分离地址，去这个网段的流量会加密，去其它网段的流量不会被加密

第五步：创建CLIENT拨号的组名，并定义该组下面的策略集，并管理地址池，组的认证密码，DNS,开启隧道分离，保存认证的用户和密码等R1(config)#crypto isakmp client configuration group libo//配置客户端拨号时所用的组名R1(config-isakmp-group)#key libo//定义客户端拨号时所使用的密码R1(config-isakmp-group)#dns 1.1.1.1 8.8.8.8 //dnsR1(config-isakmp-group)#domain baidu.com //我们假设为baiduR1(config-isakmp-group)#pool khddddzfw//调用上面定义的地址池，客户端得到的地址范围就是这里面定义的R1(config-isakmp-group)#acl 100//关联上面的隧道分离acl，解释见上

第六步：定义使用IPSEC进行传输的加密方式和完整性算法（变换集）R1(config)# crypto ipsec transform-set WORD esp-3des esp-sha-hmac

第七步：创建动态加密映射的名称，并关联变换集策略，开启反向路由功能R1(config)#crypto dynamic-map dtmap 1 R1(config-crypto-map)#set transform-set WORDR1(config-crypto-map)#reverse-route

第八步：创建静态加密映射，去关联认证的组名称，关联动态加密映射R1(config)#crypto map ddjk client authentication list client1 //关联AAA的认证，这个认证是为client连接执行的认证，名称和aaa authentication network名称一致R1(config)#crypto map ddjk isakmp authorization list client2//指定应该为远程接入连接执行的授权，这里的libo名称必须与aaa authorization network命令中的相同R1(config)#crypto map ddjk client configuration address respond // 配置允许路由器将信息分配给远程接入客户端（主要为ip地址），respond参数使路由器等待客户端提示发送这些信息，然后路由器使用策略信息来回应R1(config)#crypto map ddjk 1 ipsec-isakmp dynamic dtmap//配置在静态映射条目中关联动态加密映射

第九步：调用到接口R1(config)#int e1/0R1(config-if)#crypto map ddjk第十步：测试，分四步完成第一步：打开client，添写下列信息

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。