Cisco 路由器VPN 配置大家参考这里的五个实验,基本包括了cisco 之vpn 配置所需要知识。我不再编写具体的例子。Cisco 并不难,主要有些人没有接触的机会,如果你经常管理cisco 设备,你会发现其实就那几步!说句实话,考取CCIE 其实很简单(只要你有机会接触cisco 设备)。一、 host 到 rou ter1、实验网络拓扑:pc(vpn client 4.01)---switch---router1720 (vpn access server)pc 配置:ip:10.130.23.242/28gw:10.130.23.2461720 接口 ip:f0:10.130.23.246/28lo0:172.16.1.1/241720 的ios 为 c1700-k93sy7-mz.122-8.T5.bin2、步骤:1、配置 isakmp policy:crypto isakmp policy1encr 3desauthen pre-sharegroup 22、配置 vpn client 地址池cryisa client conf address-poollocal pool192ip local pool pool192 192.168.1.1 192.168.1.2543、配置 vpn client 有关参数cryisa client conf group vclient-group####vclient-group就是在 vpn client 的连接配置中需要输入的 group authenticationname。keyvclient-key####vclient-key就是在 vpn client 的连接配置中需要输入的 group authenticationpassword。pool pool192 ####client 的 ip 地址从这里选取####以上两个参数必须配置,其他参数还包括 domain、dns、wins 等,根据情况进行配置。4、配置 ipsec transform-setcryipsec trans vclient-tfsesp-3desesp-sha-hmac5、配置 map 模板crydynamic-maptemplate-map1set transform-setvclient-tfs####和第四步对应6、配置 vpnmapcrymap vpnmap 1 ipsec-isakmpdynamic template-map#### 使用第?*脚渲玫?map 模板cry map vpnmap isakmp author list vclient-group####使用第三步配置的参数authorizationcry map vpnmap client conf address respond ####响应client 分配地址的请求7、配置静态路由ip route 192.168.1.0 255.255.255.0 fastethernet03、说明几点:(1)因为1720 只有一个fastethernet 口,所以用router1720 上的lo0 地址来模拟router内部网络。(2)vpn client 使用的ip pool 地址不能与 router 内部网络 ip 地址重叠。(3)10.130.23.0 网段模拟公网地址,172.16.1.0 网段用于 1720 内部地址,192.168.1.0 网段用于 vpn 通道。(4)没有找到设置vpn client 获取的子网掩码的办法。看来是 io...
