Easy VPN 远程VPN

2024年5月25日发(作者：)

Easy VPN (EzVPN)又名远程VPN或接入VPN

此类VPN可使用传输模式，突破NAT限制

。

R1（总部）

R1（config）#

interface s0/0

R1（config-if）#ip address 12.1.1.1 255.255.255.0

R1（config-if）#clock rate 64000

R1（config-if）#no sh

R1（config）#

interface f1/0

R1（config-if）#ip address 10.1.1.1 255.255.255.0

R1（config-if）#no sh

R1（config）#ip route 0.0.0.0 0.0.0.0 12.1.1.2

配置AAA

R1（config ）#aaa new-model （开启AAA认证）

R1（config ）#aaa authentication login eza local（定义一个eza 认

证）

R1（config ）#aaa authorization network ezo local（命名ezo授权）

R1（config ）#username wj1007 pass cisco （用户登陆名密码）

配置ike策略

R1(config)#crypto isakmp

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#en 3des

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 2 //ezvpn 支持group 2

定义分配ezvpn client 连上地址池

R1（config ）#ip local pool ez 10.1.1.50 10.1.1.100

配置EZVPN 组和密码

R1（config ）#crypto isakmp client configuration group myez（拨

号用户）

R1(config-isakmp-group)#key cisco123 （拨号用的密码）

R1(config-isakmp-group)#pool ez

配置IPSEC transform-set

R1(config)#crypto ipsec transform-set ezvpn esp-3des esp-sha-hmac

定义安全crypto map

创建动态map

R1(config)#crypto dynamic-map mymap 1

R1(config-crypto-map)#reverse-route (反向路由注入)

R1(config-crypto-map)#set transform-set ezvpn

EZVPN认证、授权配置，list调用上面AAA配置名

R1(config)#crypto map ezvpn client authentication list eza

R1(config)#crypto map ezvpn isakmp authorization list ezo

R1(config)#crypto map ezvpn client configuration address respond

配置动态和静态绑定

R1（config）#crypto map ezvpn 1 ipsec-isakmp dynamic mymap

静态应用到接口

R1（config）#

interface s0/0

R1（config-if）#crypto map ezvpn

R2（Internet）

R2（config）#

interface s0/0

R2（config-if）ip address 12.1.1.2 255.255.255.0

R2（config-if）#no sh

R2（config）#

interface s0/1

R1（config-if）ip address 23.1.1.2 255.255.255.0

R2（config-if）#clock rate 64000

R2（config-if）#no sh

R3（client）

R3（config）#

interface s0/0

R3（config-if）ip address 23.1.1.1 255.255.255.0

R3（config-if）ip nat outside

R3（config-if）#no sh

R3（config）#

interface f1/0

R3（config-if）ip address 172.16.1.1 255.255.255.0

R3（config-if）ip nat inside

R3（config-if）#no sh

R3（config）#

ip route 0.0.0.0 0.0.0.0 23.1.1.2

建立访问控制列表

R3（config）#ip nat inside source list 1 interface Serial0/0 overload

R3（config）#access-list 1 permit 172.16.1.0 0.0.0.255

测试

配置ip地址

安装vpnclient_setup 重启电脑

点new连接

收入登陆用户和密码

成功登陆

两个ip地址