第一步:配置用户名和AAA相关
R1(config)#username admin privilege 15 password admin
//配置一个级别为15的帐户名和密码
R1(config)#aaa new-model
//开启aaa服务
R1(config)#aaa authentication login default local
R1(config)#aaa authorization exec default local
//分别定义本地认证各本地抵授权
第二步:定义 client 认证方式为本地和认证组名称
R1(config)#aaa authentication login client1 local
R1(config)#aaa authorization network ***client2 local
第三步:配置IKE的第一个阶段的策略集,在拨号时会协商这个策略
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#en 3
R1(config-isakmp)#au pr
R1(config-isakmp)#g 2
第四步:配置客户端所得的地址范围和隧道分离的范围地址
R1(config)#ip local pool khddddzfw 192.168.100.1 192.168.100.2
//客户端成功登录后,得到的地址
R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any
//隧道分离地址,去这个网段的流量会加密,去其它网段的流量不会被加密
第五步:创建CLIENT拨号的组名,并定义该组下面的策略集,并管理地址池,组的认证密码,DNS,开启隧道分离,保存认证的用户和密码等
R1(config)#crypto isakmp client configuration group libo
//配置客户端拨号时所用的组名
R1(config-isakmp-group)#key libo
//定义客户端拨号时所使用的密码
R1(config-isakmp-group)#dns 1.1.1.1 8.8.8.8 //dns
R1(config-isakmp-group)#domain www.baidu.com //我们假设为baidu
R1(config-isakmp-group)#pool khddddzfw
//调用上面定义的地址池,客户端得到的地址范围就是这里面定义的
R1(config-isakmp-group)#acl 100
//关联上面的隧道分离acl,解释见上
第六步:定义使用IPSEC进行传输的加密方式和完整性算法(变换集)
R1(config)# crypto ipsec transform-set WORD esp-3des esp-sha-hmac
第七步:创建动态加密映射的名称,并关联变换集策略,开启反向路由功能
R1(config)#crypto dynamic-map dtmap 1
R1(config-crypto-map)#set transform-set WORD
R1(config-crypto-map)#reverse-route
第八步:创建静态加密映射,去关联认证的组名称,关联动态加密映射
R1(config)#crypto map ddjk client authentication list client1
//关联AAA的认证,这个认证是为client连接执行的认证,名称和aaa authentication network名称一致
R1(config)#crypto map ddjk isakmp authorization list client2
//指定应该为远程接入连接执行的授权,这里的libo名称必须与aaa authorization network命令中的相同
R1(config)#crypto map ddjk client configuration address respond
// 配置允许路由器将信息分配给远程接入客户端(主要为ip地址),respond参数使路由器等待客户端提示发送这些信息,然后路由器使用策略信息来回应
R1(config)#crypto map ddjk 1 ipsec-isakmp dynamic dtmap
//配置在静态映射条目中关联动态加密映射
第九步:调用到接口
R1(config)#int e1/0
R1(config-if)#crypto map ddjk
第十步:测试,分四步完成
第一步:打开client,添写下列信息
第二步:会出现下面提示,输入级别为15的,帐户名写密码
成功后,桌面右下角会出现一个小锁
第三步:查看相关
第四步:测试登录内网服务器
