***網絡在現在企業中的應用範圍越來越廣,根據用戶需求,今天配置了一個ipsec ***網絡,主要是便於移動辦公人員便利的接入企業網絡,提供CRM服務。
1、設備爲cisco2811+K9(IOS)
2、客戶端安裝CISCO *** CLIENT5.0版本
3、用戶接入企業網後,本地上網業務中斷,確保不會受到外網威脅。
cisco2811配置:
Current configuration : 2447 bytes
!
aaa new-model
!
!
aaa authentication login userauth local
aaa authorization network groupauth local
!
!
aaa session-id common
username adminhzg privilege 15 password 0 xxxxxxxxxxxxxxxx
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group 1234
key 1234
pool users
max-users 50
!
crypto isakmp client configuration group 4567
key 4567
pool supper
max-users 20
!
!
crypto ipsec transform-set SDM_TRANSFORMSET_1 esp-3des esp-sha-hmac
!
crypto dynamic-map dyna01 5
set transform-set SDM_TRANSFORMSET_1
!
!
crypto map mymap client authentication list userauth
crypto map mymap isakmp authorization list groupauth
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic dyna01
interface FastEthernet0/0
description connet to firewall 535
ip address 10.1.1.254 255.255.255.0
//* 定義了私有地址
crypto map mymap
!
interface FastEthernet0/1
ip address 10.0.199.2 255.255.255.0
//* 內網接口
duplex auto
speed auto
!
ip local pool users 172.25.100.1 172.25.100.60
//*兩個地址池
ip local pool supper 172.25.101.1 172.25.101.20
上述配置沒有考慮nat問題,在後續博文中會寫道在NAT網絡環境中如何通過route-map配置來實現IPSEC ***的連接。