Ez×××-over-router

实验目的：

总公司路由器R1上起×××，使远端主机通过××× client通过用户认证、授权、连接，建立eazy-***通信。

实验拓扑：

实验配置要点：

R6模拟Internet，只需配置ip地址即可。

R5为总公司内网路由器，只需要配置ip和静态路由。

R2为分公司边界路由，需要配置NAT和静态路由即可

总公司R1配置：

aaa new-model              //开启aaa认证

aaa authentication login test1 local group radius       //认证调用本地数据库中用户

aaa authorization network test2 local group radius     //授权调用本地数据库

username meng password 0 gezi123       //添加用户名密码        

crypto isakmp policy 1               //定义IKE策略

 encr 3des

 authentication pre-share

 group 2

crypto isakmp client configuration group meng   //定义用户组关联  即client登陆用户名

 key gezi123                             //定义client登陆密钥

 dns 202.102.224.68                //设置dns

 domain gezi.com                 //设置域名

 pool meng                      //调用地址池

crypto ipsec transform-set myset esp-3des esp-sha-hmac    //定义转换集

crypto dynamic-map dmap 1        //创建动态映射map

 set transform-set myset 

 reverse-route             //配置此选项可以使路由器自动生成到client网段的静态路由

crypto map mymap client authentication list test1       //客户端认证

crypto map mymap isakmp authorization list test2      //客户端授权

crypto map mymap client configuration address respond  //client获取地址方式

crypto map mymap 1 ipsec-isakmp dynamic dmap      //创建静态map调用动态map

interface Serial1/0

 ip address 15.15.15.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000        

interface Serial1/1

 ip address 16.16.16.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap                 //调用策略

ip local pool meng 192.168.1.1 192.168.1.100  //定义要给client分配的地址池

ip route 0.0.0.0 0.0.0.0 16.16.16.6

实验验证：

第一步：建立连接（输入账号密码）。

Connection Entry一栏填写连接名。

Host填写总公司外网ip地址

选择组认证方式。

Name 为meng（总公司配置的组名）。

Password为gezi123（定义的key）。

第二步：填写用户名和密码，此用户名和密码在总公司路由器数据库中，只有经过认证和授权才能建立起来×××。

第三步：连接×××，出现小锁为锁定状态为连接成功

第四步：查看信息

获取到的ip地址为192.168.1.3，加密和认证方式。serve地址为16.16.16.1

查看总公司R1的isakmp信息：

r1#sh crypto isakmp sa 

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

16.16.16.1      26.26.26.2      QM_IDLE           1004    0 ACTIVE

总公司和分公司之间建立的×××

查看R1的crypot会话信息

r1#sh crypto session 

Crypto session current status

Interface: Serial1/1

Username: meng   //用户名

Group: meng     //用户组

Assigned address: 192.168.1.3   //client的ip地址

Session status: UP-ACTIVE     

Peer: 26.26.26.2 port 1674 

  IKE SA: local 16.16.16.1/4500 remote 26.26.26.2/1674 Active 

  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.1.3 

        Active SAs: 2, origin: dynamic crypto map