Easy ×××實驗

 

Easy ×××是Cisco 獨有的遠程接入×××技術。Easy ×××是在Ipsec ×××建立的兩個階段（IKE階段和IPSEC階段）之間多了一個2.5階段（用戶認證階段等）。遠程接入×××的常用作用是爲外出辦公提供很好接入技術。回想當年的外出的移動辦公，那時候還是通過電話線撥號連接到內網訪問資源。其網絡速之慢，費用之貴，小T我就不多說了！現在的外出移動辦公接入內網訪問資源，常用的是遠程×××接入技術，其技術的優點在於網速快、費用低，只要你所在地方能上Internet網，那麼，你就很享受遠程×××接入所帶來的好處！（大家有機會用過，就會體會到）。

遠程×××接入技術，常見的有PPTP，L2TP，Easy ×××以及現在很火的SSL　×××等。這些遠程×××接入技術優缺點，現在我以Cisco PacketTracer　5.2這個模擬器爲基礎，做Easy ×××的實驗

 

 

實驗的基本思路是這樣的，一臺路由器做總部×××網關，一臺路由模擬Internet網（就是沒私有IP路由的路由器），一臺路由路模擬能上Internet網的路由器（也就是做了NAT上網）。外出移動辦公的筆記本通過能上Internet網的路由器Easy　×××連接到總部，並訪問總部的web服務器。

實驗拓撲：

 

 

 

IP地址規劃如下：

總部服務器：192.168.1.1、24

總部路由器：fa 0/0 192.168.1.254/24      fa 0/1 100.1.1.2/24

Internet網路由器：fa 0/1 100.1.1.1/24    fa 0/0 200.1.1.1/24

遠端路由器：fa 0/0 200.1.1.2/24         fa 0/1 172.16.1.254/24

辦公筆記本：172.16.1.1、24

 

實驗的基本配置如下:

總部路由器：

 

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

 no shutdown

interface FastEthernet0/1

 ip address 100.1.1.2 255.255.255.0

 no shutdown

ip route 0.0.0.0 0.0.0.0 100.1.1.1

 

Internet路由器：

interface FastEthernet0/0

 ip address 200.1.1.1 255.255.255.0

no shutdown

interface FastEthernet0/1

 ip address 100.1.1.1 255.255.255.0

no shutdown

 

遠端路由器的配置：

interface FastEthernet0/0

 ip address 200.1.1.2 255.255.255.0

 ip nat outside

 no shutdown

interface FastEthernet0/1

 ip address 172.16.1.254 255.255.255.0

 ip nat inside

shutdown

ip nat inside source list 1 interface FastEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 200.1.1.1

access-list 1 permit 172.16.1.0 0.0.0.255

 

此時，遠端的筆記本能上網，但不能訪問總部內的Web服務器。現在在總部做Easy ×××的配置。其配置如下：

aaa new-model（開啓AAA認證）

aaa authentication login eza local （命名eza，對eza認證）

aaa authorization network ezo local（命名ezo，對ezo的事件授權）

username tang password 123（創建用戶名密碼）

crypto isakmp policy 10（Ipsec 階段一的安全參數配置）

 hash md5

 authentication pre-share

 group 2

 

ip local pool ez 192.168.2.1 192.168.2.10（Easy ××× 接入後所分配的地址）

crypto isakmp client configuration group myez（Easy ×××的組和密碼配置）

 key 123

 pool ez

crypto ipsec transform-set tim esp-3des esp-md5-hmac（IPSec階段二的配置）

crypto dynamic-map ezmap 10（動態加密圖）

 set transform-set tim

 reverse-route（反向路由注入）

（以下是對Easy ×××的認證，授權配置，list是調用上面的AAA的配置名）

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap（最後，動態加密圖必須有靜態綁定）

 

interface FastEthernet0/1

crypto map tom（綁定到接口）

 

 

Easy ×××的測試：

測試如下：

首先，雙擊筆記本，打開圖，選擇Desktop，再下面選擇command Pormpt，ping一下總部的公網地址100.1.1.2，通了後再ping內部服務器192.168.1.1，此時是ping不通的，因爲我們來沒Easy ××× 接入。

其次，我們依然選擇Desktop下的×××，依次輸入如下信息：

       GroupName：myez

       Group key：123

       Host IP(server IP)：100.1.1.2

       Username：tang

       Password：123

 

點擊connect，就會提示連接上去，此時會顯示下發的IP地址。（若沒馬上連上去，在配置沒錯的前提下，Ipsec ×××協商時，前面幾個包是不通的，解決方法，在ping一下100.1.1.2，再連接Easy ×××）。

最後，我們訪問web服務器，選擇Desktop下的Web Browser，輸入IP：192.168.1.1即可訪問到web服務器.