对于初学网络设备配置的人来说VPN是个难点,在配置时总会出现这样那样的问题,在网上看到很多配置都是综合应用,出错时就不知道那些地方出错了,下面在Packet tracer5.3下用最简单的环境进行配置。
第一:首先保证内网能够访问外网(地址转换)
配置PC机IP
school-vpn上作如下配置:
复制
int F0/0 ip address 192.168.1.254 255.255.255.0 ip nat inside int F0/1 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map school-map(VPN配置完成最后再配) p nat inside source list 1 interface FastEthernet0/1 overload 端口复用 access-list 1 permit 192.168.1.0 0.0.0.255 (允许 192.168.1.0/24网段访问外网) ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 (缺省路由)
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
ISP上作如下配置:
复制
int F0/0 ip address 100.1.1.2 255.255.255.0 int F0/1 ip address 200.1.1.1 255.255.255.0
1.
2.
3.
4.
进行测试:内网可以连到外网上
第二:进行IPSEC-vpn配置
school-vpn上作如下配置:
复制
aaa new-model aaa authentication login vpn-a local aaa authorization network vpn-o local 进行3A认证 username vpn password 0 vpn 建立用户以及密码 crypto isakmp policy 10 建立ipsec安全参数配置 hash md5 authentication pre-share crypto isakmp client configuration group vpng easyvpn的组及密码配置,vpngroup为组名 key vpn 群组密码 pool vpn-p VPN用户的地址池 ip local pool vpn-p 192.168.100.1 192.168.100.10 建立分配给VPN用户的地址池 crypto ipsec transform-set school-set esp-3des esp-md5-hmac Ipsec阶段2配置 crypto dynamic-map d-map 10 动态加密图 set transform-set school-set reverse-route 反向路由注入 crypto map school-map client authentication list vpn-a Easyvpn用户的认证授权配置 crypto map school-map isakmp authorization list vpn-o crypto map school-map client configuration address respond crypto map school-map 10 ipsec-isakmp dynamic d-map
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
最后在端口上绑定:
复制
interface FastEthernet0/1 crypto map school-map
1.
2.
校外工作人员从外网登录到内网:
