实验目的:

总公司路由器R1上起×××,使远端主机通过××× client通过用户认证、授权、连接,建立eazy-***通信。

实验拓扑:
 
 

 

 

Ez×××-over-router_第1张图片

 

实验配置要点:

R6模拟Internet,只需配置ip地址即可。

R5为总公司内网路由器,只需要配置ip和静态路由。

R2为分公司边界路由,需要配置NAT和静态路由即可

总公司R1配置:

aaa new-model              //开启aaa认证

aaa authentication login test1 local group radius       //认证调用本地数据库中用户

aaa authorization network test2 local group radius     //授权调用本地数据库

username meng password 0 gezi123       //添加用户名密码        

crypto isakmp policy 1               //定义IKE策略

 encr 3des

 authentication pre-share

 group 2

crypto isakmp client configuration group meng   //定义用户组关联  即client登陆用户名

 key gezi123                             //定义client登陆密钥

 dns 202.102.224.68                //设置dns

 domain gezi.com                 //设置域名

 pool meng                      //调用地址池

crypto ipsec transform-set myset esp-3des esp-sha-hmac    //定义转换集

crypto dynamic-map dmap 1        //创建动态映射map

 set transform-set myset 

 reverse-route             //配置此选项可以使路由器自动生成到client网段的静态路由

crypto map mymap client authentication list test1       //客户端认证

crypto map mymap isakmp authorization list test2      //客户端授权

crypto map mymap client configuration address respond  //client获取地址方式

crypto map mymap 1 ipsec-isakmp dynamic dmap      //创建静态map调用动态map

interface Serial1/0

 ip address 15.15.15.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000        

interface Serial1/1

 ip address 16.16.16.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap                 //调用策略

ip local pool meng 192.168.1.1 192.168.1.100  //定义要给client分配的地址池

ip route 0.0.0.0 0.0.0.0 16.16.16.6

实验验证:

Ez×××-over-router_第2张图片

第一步:建立连接(输入账号密码)。

Connection Entry一栏填写连接名。

Host填写总公司外网ip地址

选择组认证方式。

Name meng(总公司配置的组名)。

Passwordgezi123(定义的key)。

第二步:填写用户名和密码,此用户名和密码在总公司路由器数据库中,只有经过认证和授权才能建立起来×××

Ez×××-over-router_第3张图片

第三步:连接×××,出现小锁为锁定状态为连接成功

第四步:查看信息

获取到的ip地址为192.168.1.3,加密和认证方式。serve地址为16.16.16.1

Ez×××-over-router_第4张图片

查看总公司R1isakmp信息:

r1#sh crypto isakmp sa 

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

16.16.16.1      26.26.26.2      QM_IDLE           1004    0 ACTIVE

总公司和分公司之间建立的×××

查看R1crypot会话信息

r1#sh crypto session 

Crypto session current status

Interface: Serial1/1

Username: meng   //用户名

Group: meng     //用户组

Assigned address: 192.168.1.3   //clientip地址

Session status: UP-ACTIVE     

Peer: 26.26.26.2 port 1674 

  IKE SA: local 16.16.16.1/4500 remote 26.26.26.2/1674 Active 

  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.1.3 

        Active SAs: 2, origin: dynamic crypto map