当前位置:首页 > 网络&安全 > 组网布线 > 正文

用VPN-Client连接扩展验证VPN-SERVER配置

  作者:Amteam.org
2007/2/12 10:02:00
本文关键字: 存储 组件 

PC(10.0.0.1、网关10.0.0.254)-----------------(e0/0:10.0.0.254)ROUTER3620(lo0:172.16.0.1)
IOS版本c3620-ik9o3s7-mz.123-21.bin
Building configuration...
Current configuration : 1853 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpnserver
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login xauthen local
!利用AAA配置扩展验证,由于没有AAA服务器,只调用了本地
aaa authorization network groupauthor local 
!使用AAA服务器查找组策略,这里使用本地,这个本地组策略也可以不配,在后面的加密影射中,调用本地组策略名即可
aaa session-id common
ip subnet-zero
!
!
ip cef    
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
username lin password 0 cisco
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2  
!
!指定组策略属性,并进入组策略配置模式,这些配置会被push给客户端
crypto isakmp client configuration group clientgroup
 key cisco123    

!如果客户段是靠preshared key来确定自己身份的话,那么这个KEY配置就是必须的,它可以和扩展验证里的不同
dns 61.148.1.8
wins 61.148.1.7
pool ippool
!调用本地地址池,不同的组策略可以调用不同的本地地址池,它要和全局下配置的地址池名一致.
!
!
!培植IPSEC转换集
crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac 
!
!配置动态影射摸班,调用转换集,因为不知道peer的IP地址,也不知道要match那些感兴趣流,所以用动态加密影射.
crypto dynamic-map dynamicmap 1
set transform-set ipsectrans 
!
!
!下面开始将组策略模式配置和扩展验证应用到具体的加密影射上.
!
crypto map actmap client authentication list xauthen
!如果这里不用扩展验证,则可省略上面语句.
!下面这个语句是启用IKE的组策略查询,它将依赖于list后面的名称来查询AAA或者本地的组策略!
crypto map actmap isakmp authorization list groupauthor
!采用扩展组策略,如果不用扩展组策略则用下面这个语句使用本地手工配置的客户组,授权语句不可以省略,否则IKE协商过不去.!crypto map actmap isakmp authorization list clientgroup
crypto map actmap client configuration address respond
!上面的语句,是让VPN服务段响应客户段发起的地址请求,当然也可以使用initiate参数来主动发起请求(适合1.x版本客户段软件),两个参数可同时用.
crypto map actmap 1 ipsec-isakmp dynamic dynamicmap 
!使用IKE来负责ipsec的协商,关联动态影射摸班.
!
!
!
interface Loopback0
ip address 172.16.0.1 255.255.0.0
!
interface Ethernet0/0
ip address 10.0.0.254 255.0.0.0
full-duplex
crypto map actmap
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0   

!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
ip local pool ippool 192.168.10.1 192.168.10.254
!本地地址池,可以配置多条不同的地址池语句.
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0/0
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

软件配置:

建立新连接,注意的就是在新建的时候密码要填与客户组对应的密码,这里是cisco123.

然后连接,在连接过程中会额外再弹出一个要求输入用户名和密码的提示框,这时候输入AAA对应的,这里是lin,cisco.

http://www.cisco.com/en/US/products/sw/secursw/ps2308
/products_configuration_example09186a00801c4246.shtml

【相关文章】

责任编辑: 雪花(TEL:(010)68476636-8008)


责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友
收藏到畅享 打印全文复制链接添加到收藏投稿邮箱

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..
    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map