CCNP(ISCW)实验：配置Cisco IOS *** Server Client

掌握easy ***的配置
掌握cisco *** client的配置

预配置
R1(config)#int e0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 172.16.1.1 255.255.0.0
R1(config-if)#no sh

R1#ping 172.16.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/22/40 ms

实验过程：
第一步：配置认证策略
R1(config)#aaa new-model
R1(config)#aaa authorization network libo local
//配置对过程接入IPSec连接的授权，组名为libo

第二步：定义用户的组策略
R1(config)#ip local pool ***DHCP 192.168.0.100 192.168.0.120
// 配置一个内部地址池，用于分配IP地址到远程接入的***客户端，在本实验中地址池的起始地址为192.168.0.100，终止的IP地址为192.168.0.150，在后面的组策略中会引用改地址池
R1(config)#crypto isakmp client configuration group libo
//配置远程接入组，组名为libo，此组名与aaa authorization network命令中的名称一致
R1(config-isakmp-group)#key www.norve
//配置IKE阶段1使用预共享密钥，密钥为
R1(config-isakmp-group)#pool ***DHCP
//配置在客户端连接的Easy *** client所分配的IP地址池
后面加一句acl
去内网的时候的一句
R1(config-isakmp-group)#exi

第三步：配置IKE阶段1策略
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha

R1#sh crypto isakmp policy

Global IKE policy
Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

第四步：配置动态加密映射
R1(config)#crypto ipsec transform-set R1set esp-3des esp-sha-hmac
//配置名为R1set的转换集

R1(config)#crypto dynamic-map qq 1
// 配置名为qq的动态加密映射
R1(config-crypto-map)#set transform-set R1set
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#exi

第五步：配置静态加密映射
R1(config)#crypto map bb isakmp authorization list libo
// 指定应该为远程接入***连接执行的授权，这里的libo名称必须与aaa authorization network命令中的相同
R1(config)#crypto map bb client configuration address respond
// 配置允许路由器将信息分配给远程接入客户端，respond参数使路由器等待客户端提示发送这些信息，然后路由器使用策略信息来回应
R1(config)#crypto map bb 1 ipsec-isakmp dynamic qq
// 配置在静态映射条目中关联动态加密映射

第六步：在接口上激活静态加密映射
R1(config)#int e1/0
R1(config-if)#cry map bb

第七步：在pc机上打开cisco *** client进行配置，点击new创建一个新的***连接

第八步：在*** client 连接中进行配置，连接名填写为任意，主机*** server 172.16.1.1 ，name写libo，密码填写****

第九步：测试***连接，选中easy*** ，点击connect

第十步：连接成功后ctrl+s