CCNP(ISCW)实验：配置Cisco IOS *** Server Client

CCNP(ISCW)实验：配置Cisco IOS *** Server Client

预配置R1(config)#int e0/0R1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config-if)#no shR1(config-if)#int e1/0R1(config-if)#ip add 172.16.1.1 255.255.0.0R1(config-if)#no sh

R1#ping 172.16.1.254

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.254, timeout is 2 seconds:.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 4/22/40 ms

实验过程：第一步：配置认证策略R1(config)#aaa new-model R1(config)#aaa authorization network libo local //配置对过程接入IPSec连接的授权，组名为libo

第二步：定义用户的组策略R1(config)#ip local pool DHCP 192.168.0.100 192.168.0.120// 配置一个内部地址池，用于分配IP地址到远程接入的客户端，在本实验中地址池的起始地址为192.168.0.100，终止的IP地址为192.168.0.150，在后面的组策略中会引用改地址池R1(config)#crypto isakmp client configuration group libo//配置远程接入组，组名为libo，此组名与aaa authorization network命令中的名称一致R1(config-isakmp-group)#key norve//配置IKE阶段1使用预共享密钥，密钥为R1(config-isakmp-group)#pool DHCP//配置在客户端连接的Easy client所分配的IP地址池 后面加一句acl去内网的时候的一句R1(config-isakmp-group)#exi

第三步：配置IKE阶段1策略R1(config)#crypto isakmp policy 1R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#group 2R1(config-isakmp)#hash sha

R1#sh crypto isakmp policy

Global IKE policyProtection suite of priority 1encryption algorithm: Three key triple DEShash algorithm: Secure Hash Standardauthentication method: Pre-Shared KeyDiffie-Hellman group: #2 (1024 bit)lifetime: 86400 seconds, no volume limitDefault protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys).hash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman group: #1 (768 bit)lifetime: 86400 seconds, no volume limit

第四步：配置动态加密映射R1(config)#crypto ipsec transform-set R1set esp-3des esp-sha-hmac//配置名为R1set的转换集

R1(config)#crypto dynamic-map qq 1 // 配置名为qq的动态加密映射R1(config-crypto-map)#set transform-set R1setR1(config-crypto-map)#reverse-routeR1(config-crypto-map)#exi

第五步：配置静态加密映射R1(config)#crypto map bb isakmp authorization list libo// 指定应该为远程接入***连接执行的授权，这里的libo名称必须与aaa authorization network命令中的相同R1(config)#crypto map bb client configuration address respond // 配置允许路由器将信息分配给远程接入客户端，respond参数使路由器等待客户端提示发送这些信息，然后路由器使用策略信息来回应R1(config)#crypto map bb 1 ipsec-isakmp dynamic qq// 配置在静态映射条目中关联动态加密映射

第六步：在接口上激活静态加密映射R1(config)#int e1/0R1(config-if)#cry map bb

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。