对于初学网络设备配置的人来说VPN是个难点,在配置时总会出现这样那样的问题,在网上看到很多配置都是综合应用,出错时就不知道那些地方出错了,下面在Packet tracer5.3下用最简单的环境进行配置。
第一:首先保证内网能够访问外网(地址转换)
配置PC机IP
school-vpn上作如下配置:
- int F0/0
- ip address 192.168.1.254 255.255.255.0
- ip nat inside
- int F0/1
- ip address 100.1.1.1 255.255.255.0
- ip nat outside
- crypto map school-map(VPN配置完成最后再配)
- p nat inside source list 1 interface FastEthernet0/1 overload 端口复用
- access-list 1 permit 192.168.1.0 0.0.0.255 (允许 192.168.1.0/24网段访问外网)
- ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 (缺省路由)
ISP上作如下配置:
- int F0/0
- ip address 100.1.1.2 255.255.255.0
- int F0/1
- ip address 200.1.1.1 255.255.255.0
进行测试:内网可以连到外网上
第二:进行IPSEC-vpn配置
school-vpn上作如下配置:
- aaa new-model
- aaa authentication login vpn-a local
- aaa authorization network vpn-o local 进行3A认证
- username vpn password 0 vpn 建立用户以及密码
- crypto isakmp policy 10 建立ipsec安全参数配置
- hash md5
- authentication pre-share
- crypto isakmp client configuration group vpng easyvpn的组及密码配置,vpngroup为组名
- key vpn 群组密码
- pool vpn-p VPN用户的地址池
- ip local pool vpn-p 192.168.100.1 192.168.100.10 建立分配给VPN用户的地址池
- crypto ipsec transform-set school-set esp-3des esp-md5-hmac Ipsec阶段2配置
- crypto dynamic-map d-map 10 动态加密图
- set transform-set school-set
- reverse-route 反向路由注入
- crypto map school-map client authentication list vpn-a Easyvpn用户的认证授权配置
- crypto map school-map isakmp authorization list vpn-o
- crypto map school-map client configuration address respond
- crypto map school-map 10 ipsec-isakmp dynamic d-map
最后在端口上绑定:
- interface FastEthernet0/1
- crypto map school-map
校外工作人员从外网登录到内网:
