Easy ×××是Cisco 獨有的遠程接入×××技術。Easy ×××是在Ipsec ×××建立的兩個階段(IKE階段和IPSEC階段)之間多了一個2.5階段(用戶認證階段等)。遠程接入×××的常用作用是爲外出辦公提供很好接入技術。回想當年的外出的移動辦公,那時候還是通過電話線撥號連接到內網訪問資源。其網絡速之慢,費用之貴,小T我就不多說了!現在的外出移動辦公接入內網訪問資源,常用的是遠程×××接入技術,其技術的優點在於網速快、費用低,只要你所在地方能上Internet網,那麼,你就很享受遠程×××接入所帶來的好處!(大家有機會用過,就會體會到)。
遠程×××接入技術,常見的有PPTP,L2TP,Easy ×××以及現在很火的SSL ×××等。這些遠程×××接入技術優缺點,現在我以Cisco PacketTracer 5.2這個模擬器爲基礎,做Easy ×××的實驗
實驗的基本思路是這樣的,一臺路由器做總部×××網關,一臺路由模擬Internet網(就是沒私有IP路由的路由器),一臺路由路模擬能上Internet網的路由器(也就是做了NAT上網)。外出移動辦公的筆記本通過能上Internet網的路由器Easy ×××連接到總部,並訪問總部的web服務器。
實驗拓撲:
IP地址規劃如下:
總部服務器:192.168.1.1、24
總部路由器:fa 0/0 192.168.1.254/24 fa 0/1 100.1.1.2/24
Internet網路由器:fa 0/1 100.1.1.1/24 fa 0/0 200.1.1.1/24
遠端路由器:fa 0/0 200.1.1.2/24 fa 0/1 172.16.1.254/24
辦公筆記本:172.16.1.1、24
實驗的基本配置如下:
總部路由器:
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.2 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 100.1.1.1
Internet路由器:
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no shutdown
interface FastEthernet0/1
ip address 100.1.1.1 255.255.255.0
no shutdown
遠端路由器的配置:
interface FastEthernet0/0
ip address 200.1.1.2 255.255.255.0
ip nat outside
no shutdown
interface FastEthernet0/1
ip address 172.16.1.254 255.255.255.0
ip nat inside
shutdown
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 200.1.1.1
access-list 1 permit 172.16.1.0 0.0.0.255
此時,遠端的筆記本能上網,但不能訪問總部內的Web服務器。現在在總部做Easy ×××的配置。其配置如下:
aaa new-model(開啓AAA認證)
aaa authentication login eza local (命名eza,對eza認證)
aaa authorization network ezo local(命名ezo,對ezo的事件授權)
username tang password 123(創建用戶名密碼)
crypto isakmp policy 10(Ipsec 階段一的安全參數配置)
hash md5
authentication pre-share
group 2
ip local pool ez 192.168.2.1 192.168.2.10(Easy ××× 接入後所分配的地址)
crypto isakmp client configuration group myez(Easy ×××的組和密碼配置)
key 123
pool ez
crypto ipsec transform-set tim esp-3des esp-md5-hmac(IPSec階段二的配置)
crypto dynamic-map ezmap 10(動態加密圖)
set transform-set tim
reverse-route(反向路由注入)
(以下是對Easy ×××的認證,授權配置,list是調用上面的AAA的配置名)
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap(最後,動態加密圖必須有靜態綁定)
interface FastEthernet0/1
crypto map tom(綁定到接口)
Easy ×××的測試:
測試如下:
首先,雙擊筆記本,打開圖,選擇Desktop,再下面選擇command Pormpt,ping一下總部的公網地址100.1.1.2,通了後再ping內部服務器192.168.1.1,此時是ping不通的,因爲我們來沒Easy ××× 接入。
其次,我們依然選擇Desktop下的×××,依次輸入如下信息:
GroupName:myez
Group key:123
Host IP(server IP):100.1.1.2
Username:tang
Password:123
點擊connect,就會提示連接上去,此時會顯示下發的IP地址。(若沒馬上連上去,在配置沒錯的前提下,Ipsec ×××協商時,前面幾個包是不通的,解決方法,在ping一下100.1.1.2,再連接Easy ×××)。
最後,我們訪問web服務器,選擇Desktop下的Web Browser,輸入IP:192.168.1.1即可訪問到web服務器.