14.4.3 基于SDM的Easy VPN配置实例（二）

您所在的位置：首页 > 读书频道 > 网络与维护 > 网络管理 >

14.4.3 基于SDM的Easy VPN配置实例（二）

http://book.51cto.com 2008-07-17 11:14 51CTO.com 主编；张琦等编著电子工业出版社我要评论(0)

摘要：《案例精解企业级网络构建》包含了网络组建与管理方面的内容。从构建企业运营级网络的角度出发，按照规划、设计、评估、实施、运营、维护等流程，对各阶段的技术进行阐述和案例汇总，第14章讲述的是VPN与远程访问部署案例，本节说的是基于SDM的Easy VPN配置实例。
标签：网络 VPN Cisco SDM Easy VPN 案例精解企业级网络构建

2．SDM配置Easy VPN的步骤

下面介绍使用思科安全设备管理器（SDM）将Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后，可以使用思科VPN客户端（Cisco Systems VPN Client）进行验证。

第1步：从左侧主操作窗口选择Configure→VPN→Easy VPN Server，然后单击Launch Easy VPN Server Wizard，启动Easy VPN服务器向导，如图14-10所示。

图4-10 Launch Easy VPN Server Wizard

第2步：在弹出的对话框单击【Yes】按钮，这里提示如果对路由器配置Easy VPN Server需要启用AAA认证。请单击【Yes】按钮继续进行配置，
如图14-11所示。

如图14-12所示，表示路由器已经成功启用AAA。单击【OK】按钮，下面可以轻松地配置VPN服务器了。

图14-11 启用AAA提示

图14-12 确认AAA配置完成

第3步：正式进入Easy VPN配置向导，图14-13所示显示了配置过程需要选择的配置和启动的服务，单击【下一步】按钮。

第4步：首先要求选择应用Easy VPN的接口，客户端连接终止及身份验证的方法，如图14-14所示。

（点击查看大图）图14-13 Easy VPN配置向导

（点击查看大图）图14-14 启动VPN接口和认证类型

第5步：单击【下一步】按钮，将配置Internet密钥交换（IKE）的策略，单击【Add】按钮，添加新的策略，如图14-15所示。

（点击查看大图）图14-15 设置IKE属性

配置VPN隧道的选项必须是双方匹配的。这里是针对“思科VPN客户端” 本身自动选择适当的配置。因此，有必要对客户端电脑配置IKE。

第6步：单击【下一步】按钮，选择默认转换设置或添加新的转换加密和认证算法，如图14-16所示。单击【Add】按钮，添加转换算法设置，如图14-17所示。

（点击查看大图）图14-16 选择Transform Set设置

图14-17 添加Transform

第7步：添加一个新的验证、授权和记账策略，这里选择定义验证的方式为本地配置，如图14-18所示。

（点击查看大图）图14-18 选择本地策略

授权网络访问名单和组策略，这里可以查找或选择一个现有的本地和网络配置清单用做企业的VPN访问授权。

第8步：选择用户认证数据库，如图14-19所示。可以在存储用户认证细节上选择一个外部服务器，如一个RADIUS服务器或本地数据库，或者两者同时启用。

第9步：在如图14-20所示的对话框中，可以对本地数据库添加、编辑、复制或删除用户组策略。

（点击查看大图）图14-19 选择用户认证数据库

（点击查看大图）图14-20 选择对本地数据库的操作

第10步：添加一个隧道组，配置共享密钥用于认证信息。创建一个新的地址池或选择一个现有的地址池，用于VPN客户分配IP地址，如图14-21所示。

第11步：单击【OK】按钮，在图14-22中选择是否继续添加策略。

（点击查看大图）图14-21 添加VPN客户端地址池和共享密钥

（点击查看大图）图14-22 添加地址池后

第12步：如果不需要配置选项，单击【下一步】按钮。图14-23显示了之前配置的参数，检验此提示内容是否正确，如果感到满意可以单击【结束】按钮。

第13步：SDM将上述配置复制到路由器，以更新运行的配置，在图14-24中单击【OK】按钮，完成Easy VPN配置。

（点击查看大图）图14-23 显示配置参数

图14-24 完成Easy VPN配置

完成之后，如果需要修改，可以在主界面编辑和修改。

下面是上述配置后路由器的执行结果。

Building configuration...

Current configuration : 3336 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!

!--- In order to set AAA authentication at login, use the aaa authentication login
!--- command in global configuration mode
.
aaa authentication login default local

!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for
!--- the authentication of the clients.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
!
ip cef
!
!--- The RSA certificate generates after the
!--- ip http secure-server command is enabled.

crypto pki trustpoint TP-self-signed-392370502
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-392370502
revocation-check none
rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
（省略）
quit
!

!--- Creates a user account with all privileges.

username sdmsdm privilege 15 password 0 sdmsdm
!
!

!--- Creates an isakmp policy 1 with parameters like
!--- 3des encryption, pre-share key authentication, and DH group 2.

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

crypto isakmp client configuration group vpn

!--- Defines the pre-shared key as sdmsdm.

key sdmsdm
pool SDM_POOL_1
netmask 255.255.255.0
!

!--- Defines transform set parameters.

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
!

!--- Specifies the crypto map parameters.

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface FastEthernet1/0
ip address 10.77.241.157 255.255.255.192
duplex auto
speed auto
!
interface Serial2/0
ip address 10.1.1.1 255.255.255.0
no fair-queue

!--- Applies the crypto map SDM_CMAP1 to the interface.

crypto map SDM_CMAP_1
!
interface Serial2/1
no ip address
shutdown
!
interface Serial2/2
no ip address
shutdown
!
interface Serial2/3
no ip address
shutdown

!--- Creates a local pool named SDM_POOL_1 for issuing IP
!--- addresses to clients.

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

!--- Commands for enabling http and https required to launch SDM.

ip http server
ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
!
end

【责任编辑：董书 TEL：（010）68476606】

回书目 上一节 下一节

上一篇： 14.4.3 基于SDM的Easy VPN配置实例（一）下一篇： 15.5.1 项目概述及需求分析