CISCO router 做 EZ VPN

CISCO router 做 EZ VPN

NAT(config)#username velino password 0 123456      //设置用户名密码（vpn client连接后提示的用户名和密码）!NAT(config)#aaa new-model        //启用AAA认证!NAT(config)#aaa authentication login vpn-authen local     //设置AAA认证组vpn-authen为本地认证NAT(config)#crypto isakmp xauth timeout 20      //设置扩展策略认证超时时间（秒）NAT(config)#crypto map cisco client authentication list vpn-authen   //设置×××模板cisco为认证组vpn-authen!NAT(config)#aaa authorization network vpn-author local     //设置认证网络组vpn-author为本地地址池!NAT(config)#ip local pool vpn-pool 172.16.0.1 172.16.0.3    //设置本地地址池vpn-pool的地址范围为172.16.0.1到172.16.0.2!NAT(config)#crypto map cisco client configuration address respond   //响应来自×××策略cisco的地址请求!NAT(config)#access-list 100 permit ip 10.10.246.0 0.0.0.255 any    //设置内网的ACL!NAT(config)#crypto isakmp client configuration group mobile    //设置×××客户组mobile(vpn client中需要的）NAT(config-isakmp-group)#key velino       //设置×××客户组密钥为velino(vpn client中需要的）NAT(config-isakmp-group)#pool vpn-pool       //设置地址池为vpn-pool!NAT(config-isakmp-group)#acl 100       //应用ACL，不设置这个只能拨入不能访问内部网络!NAT(config-isakmp-group)#exit!NAT(config)#crypto map cisco isakmp authorization list vpn-author   //设置×××策略cisco到AAA认证地址池!NAT(config)#crypto isakmp policy 1      //建立ISAKMP策略NAT(config-isakmp)#encryption 3des      //设置加密算法NAT(config-isakmp)#authentication pre-share      //设置共享密钥NAT(config-isakmp)#group 2        //设置密钥长度为1024NAT(config-isakmp)#hash md5        //设置为MD5认证!NAT(config-isakmp)#exit!NAT(config)#crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac   //设置转换集vpn-set!NAT(cfg-crypto-trans)#exit!NAT(config)#crypto dynamic-map vpn-dyn 1      //建立动态模板映射NAT(config-crypto-map)#set transform-set vpn-set     //设置转换集vpn-set      !NAT(config-crypto-map)#exit!NAT(config)#crypto map cisco 1 ipsec-isakmp dynamic vpn-dyn    //将组策略、Xauth应用到动态映射!NAT(config)#interface fastEthernet 0/0NAT(config-if)#crypto map cisco        //加载MAP ciscoNAT(config-if)#exit!设置NAT的时候access-list 101 deny ip 10.10.0.0 0.0.255.255 host 172.16.0.1access-list 101 deny ip 10.10.0.0 0.0.255.255 host172.16.0.2access-list 101 deny ip 10.10.0.0 0.0.255.255 host 172.16.0.3access-list 101 permit ip 10.10.0.0 0.0.255.255 any    //设置内部网络阻止访问×××客户端access-list 1 permit 10.10.246.0 0.0.0.255route-map ADSL permit 1match ip address 101exitip nat inside source route-map ADSL interface Dialer0 overloadinterface FastEthernet0/0ip nat insideexitinterface Dialer0ip nat outsideexit

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。