Cisco路由器VPN配置

Cisco 路由器VPN 配置大家参考这里的五个实验，基本包括了cisco 之vpn 配置所需要知识。我不再编写具体的例子。Cisco 并不难，主要有些人没有接触的机会，如果你经常管理cisco 设备，你会发现其实就那几步！说句实话，考取CCIE 其实很简单（只要你有机会接触cisco 设备）。一、 host 到 rou ter1、实验网络拓扑：pc（vpn client 4.01）－－－switch－－－router1720 （vpn access server）pc 配置:ip：10.130.23.242/28gw：10.130.23.2461720 接口 ip：f0：10.130.23.246/28lo0：172.16.1.1/241720 的ios 为 c1700-k93sy7-mz.122-8.T5.bin2、步骤：1、配置 isakmp policy：crypto isakmp policy1encr 3desauthen pre-sharegroup 22、配置 vpn client 地址池cryisa client conf address-poollocal pool192ip local pool pool192 192.168.1.1 192.168.1.2543、配置 vpn client 有关参数cryisa client conf group vclient-group####vclient-group就是在 vpn client 的连接配置中需要输入的 group authenticationname。keyvclient-key####vclient-key就是在 vpn client 的连接配置中需要输入的 group authenticationpassword。pool pool192 ####client 的 ip 地址从这里选取####以上两个参数必须配置，其他参数还包括 domain、dns、wins 等，根据情况进行配置。4、配置 ipsec transform-setcryipsec trans vclient-tfsesp-3desesp-sha-hmac5、配置 map 模板crydynamic-maptemplate-map1set transform-setvclient-tfs####和第四步对应6、配置 vpnmapcrymap vpnmap 1 ipsec-isakmpdynamic template-map#### 使用第?*脚渲玫?map 模板cry map vpnmap isakmp author list vclient-group####使用第三步配置的参数authorizationcry map vpnmap client conf address respond ####响应client 分配地址的请求7、配置静态路由ip route 192.168.1.0 255.255.255.0 fastethernet03、说明几点：（1）因为1720 只有一个fastethernet 口，所以用router1720 上的lo0 地址来模拟router内部网络。（2）vpn client 使用的ip pool 地址不能与 router 内部网络 ip 地址重叠。（3）10.130.23.0 网段模拟公网地址，172.16.1.0 网段用于 1720 内部地址，192.168.1.0 网段用于 vpn 通道。（4）没有找到设置vpn client 获取的子网掩码的办法。看来是 io...