拓撲如下圖:
配置步驟如下:
1、首先建立一個地址池,遠程訪問客戶端需要在登錄期間分配一個IP地址,所以我們還需要爲這些客戶端建立一個DHCP地址池。
ip local pool ***-pool 10.10.99.10-10.10.99.250
2、建立IKE第一階段。
crypto isakmp policy 30
authentication pre-share
encryption des
hash md5
group 2
lifetime 43200
3、將IKE第一階段應用在outside接口上面。
crypto isakmp enable outside-CTC
4、定義轉換集。
crypto ipsec transform-set my***set esp-des esp-md5-hmac \\my***set爲自定義轉換集名字
5、動態加密映射配置。
crypto dynamic-map my***-dynamic-map 30 set transform-set my***set \\my***-dynamic-map 爲自定義map名
crypto dynamic-map my***-dynamic-map 30 set reverse-route
crypto dynamic-map my***-dynamic-map 30 set security-association lifetime seconds 288000
6、在靜態加密映射中調用動態加密映射並應用在接口上面。
crypto map kb***_map 10 ipsec-isakmp dynamic my***-dynamic-map \\kb***_map 自定義靜態map名
crypto map kb***_map interface outside-CTC
7、nat穿越。
crypto isakmp nat-traversal
8、創建與設置組策略。
group-policy kb*** internal \\kb*** 策略組名
group-policy kb*** attributes
dns-server value 202.96.209.6 \\設置client的DNS
default-domain value cisco.com \\設置client的域名 ***-idle-timeout 300
***-filter value kbox-nonat
ipsec-udp enable
client-firewall none
client-access-rule none
9、隧道組的建立及設置屬性。
tunnel-group kb*** type ipsec-ra
tunnel-group kb*** ipsec-attributes
pre-shared-key 123456 \\隧道組的密碼
tunnel-group kb*** general-attributes
authentication-server-group LOCAL
default-group-policy kb***
address-pool ***-pool
10、配置用戶賬戶。
username test password 123456 \\用戶名、密碼
username test attributes
***-group-policy kb***
11、配置NAT免除。(nat 0 配置以後,client網段才能訪問內部需要開通的網段)
access-list ***nonat extended permit ip 10.10.17.0 255.255.255.0 10.10.99.0 255.255.255.0 \\允許client訪問10.10.17.0 網段
access-list kbox-nonat extended permit ip any 10.10.0.0 255.255.0.0
nat (inside) 0 access-list ***nonat
12、隧道分離配置。(如果不配置隧道分離,客戶端將不能夠訪問Internet)
access-list split-tunnel-acl extended permit ip 10.10.1.0 255.255.0.0 any
access-list split-tunnel-acl extended permit ip 192.168.0.0 255.255.0.0 any
group-policy ***client attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-acl
保存完畢。
以下爲客戶端設置
