CCNP(ISCW)實驗：配置Cisco IOS *** Server Client

掌握easy ***的配置
掌握cisco *** client的配置

預配置
R1(config)#int e0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 172.16.1.1 255.255.0.0
R1(config-if)#no sh

R1#ping 172.16.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/22/40 ms

實驗過程：
第一步：配置認證策略
R1(config)#aaa new-model
R1(config)#aaa authorization network libo local
//配置對過程接入IPSec連接的授權，組名爲libo

第二步：定義用戶的組策略
R1(config)#ip local pool ***DHCP 192.168.0.100 192.168.0.120
// 配置一個內部地址池，用於分配IP地址到遠程接入的***客戶端，在本實驗中地址池的起始地址爲192.168.0.100，終止的IP地址爲192.168.0.150，在後面的組策略中會引用改地址池
R1(config)#crypto isakmp client configuration group libo
//配置遠程接入組，組名爲libo，此組名與aaa authorization network命令中的名稱一致
R1(config-isakmp-group)#key www.norve
//配置IKE階段1使用預共享密鑰，密鑰爲
R1(config-isakmp-group)#pool ***DHCP
//配置在客戶端連接的Easy *** client所分配的IP地址池
後面加一句acl
去內網的時候的一句
R1(config-isakmp-group)#exi

第三步：配置IKE階段1策略
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha

R1#sh crypto isakmp policy

Global IKE policy
Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

第四步：配置動態加密映射
R1(config)#crypto ipsec transform-set R1set esp-3des esp-sha-hmac
//配置名爲R1set的轉換集

R1(config)#crypto dynamic-map qq 1
// 配置名爲qq的動態加密映射
R1(config-crypto-map)#set transform-set R1set
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#exi

第五步：配置靜態加密映射
R1(config)#crypto map bb isakmp authorization list libo
// 指定應該爲遠程接入***連接執行的授權，這裏的libo名稱必須與aaa authorization network命令中的相同
R1(config)#crypto map bb client configuration address respond
// 配置允許路由器將信息分配給遠程接入客戶端，respond參數使路由器等待客戶端提示發送這些信息，然後路由器使用策略信息來回應
R1(config)#crypto map bb 1 ipsec-isakmp dynamic qq
// 配置在靜態映射條目中關聯動態加密映射

第六步：在接口上激活靜態加密映射
R1(config)#int e1/0
R1(config-if)#cry map bb

第七步：在pc機上打開cisco *** client進行配置，點擊new創建一個新的***連接

第八步：在*** client 連接中進行配置，連接名填寫爲任意，主機*** server 172.16.1.1 ，name寫libo，密碼填寫****

第九步：測試***連接，選中easy*** ，點擊connect

第十步：連接成功後ctrl+s