R3(config)#int f0/0
R3(config-if)#ip add 30.1.1.3 255.255.255.0
R3(config-if)#no sh R3(config-if)#exit
R3(config)#int f0/1
R3(config-if)#ip add 23.1.1.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R3(config)#service dhcp
R3(config)#ip dhcp pool net30
R3(dhcp-config)#network 30.1.1.0 255.255.255.0
R3(dhcp-config)#default-router 30.1.1.3
R3(dhcp-config)#dns-server 202.96.209.133
R3(dhcp-config)#exit
R3(config)#ip dhcp excluded-address 30.1.1.3
R3(config)# R3(config)#int f0/0
R3(config-if)#ip nat inside
R3(config-if)#exit
R3(config)#int f0/1
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#
R3(config)#access-list 3 permit any
R3(config)#ip nat inside source list 3 interface f0/1 overload
R3(config)#
說明:配置R3的接口位址,并寫預設路由指向Internet(路由器R2),位址23.1.1.2;并且在R3上開啟DHCP,讓PC動态獲得IP位址;同時R3将PC所在的網段全部NAT轉換成外網接口位址23.1.1.3出去。
(1)配置AAA認證:
R1(config)#aaa new-model
R1(config)#aaa authentication login cisco1 local group radius
R1(config)#aaa authorization network cisco2 local group radius
R1(config)#username chinaccie password chinaccie
說明:路由器上AAA為Ez×××的必配部分,定義使用本地使用者資料庫認證,并建立了本地使用者名chinaccie以及密碼chinaccie。
(2)配置IKE(ISAKMP)政策:
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
說明:定義了ISAKMP policy 1,加密方式為3des,hash算法為sha,認證方式為Pre-Shared Keys (PSK),密鑰算法(Diffie-Hellman)為group 2。
(3)定義Ez××× Client連接配接上來後自動配置設定的位址池:
R1(config)#ip local pool net10 10.1.1.100 10.1.1.200
說明:配置設定給Ez××× Client連接配接上來後位址池為10.1.1.100- 10.1.1.200。
(4)配置使用者組政策,每個連接配接上來的Ez××× Client都與一個使用者組相關聯,如果沒有配置特定組,但配置了預設組,使用者将和預設組相關聯:
R1(config)#crypto isakmp client configuration group chinaccie
R1(config-isakmp-group)#key cisco123
R1(config-isakmp-group)#dns 202.96.209.133
R1(config-isakmp-group)#pool net10
R1(config-isakmp-group)#domain china-ccie.com
R1(config-isakmp-group)#exit
說明:使用者組名為chinaccie,該組的密碼為cisco123,所有連上來的Client配置設定的位址池名為net10,即前面定義的位址池,以及其它一些參數。
(5)配置IPsec transform
R1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
說明:配置了transform-set為ccie,其中資料封裝使用esp加3des加密,并且使用esp結合sha做hash計算,預設的IPsec mode為tunnel。
(6)定義crypto map
R1(config)#crypto dynamic-map mymap 1
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#set transform-set ccie
R1(config-crypto-map)#exit
說明:動态crypto map和靜态crypto map都可以,調用的IPsec transform為ccie,在路由器中必須配置reverse-route功能。
(7)關聯認證資訊:
R1(config)#crypto map ez*** client configuration address respond
(如果client是1.x,則不是respond而是initiate) R1(config)#crypto map ez*** client authentication list cisco1 (定義認證)
R1(config)#crypto map ez*** isakmp authorization list cisco2 (定義認證查詢IKE querying) R1(config)#crypto map ez*** 1 ipsec-isakmp dynamic mymap
(8)應用crypto map:
R1(config)#int f0/0
R1(config-if)#crypto map ez***
*Mar 1 00:27:51.587: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#exi
說明:将crypto map關聯到外網接口F0/0。
(1)配置ASA:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip add 12.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# route inside 4.4.4.4 255.255.255.255 10.1.1.4
ciscoasa(config)# route outside 0 0 12.1.1.2
說明:配置ASA的接口位址,并寫指向R4的Loopback位址4.4.4.4的路由,同時寫預設路由指向Internet(路由器R2),位址12.1.1.2。
(1)配置IKE(ISAKMP)政策:
ciscoasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
說明:定義了ISAKMP policy 10,加密方式為3des,hash算法為sha,認證方式為Pre-Shared Keys (PSK),密鑰算法(Diffie-Hellman)為group 2。
(2)定義Ez××× Client連接配接上來後自動配置設定的位址池:
ciscoasa(config)# ip local pool net100 100.1.1.100-100.1.1.200 mask 255.255.255.0
說明:位址池範圍為100.1.1.100-100.1.1.200。
(3)配置隧道分離:
ciscoasa(config)# access-list Split_Tunnel_List extended permit ip 10.1.1.0 255.255.255.0 any ciscoasa(config)# access-list Split_Tunnel_List extended permit ip 4.4.4.4 255.255.255.255 any
說明:将10.1.1.0/24和4.4.4.4/32分離開來。
(4)配置使用者組政策:
ciscoasa(config)# group-policy mypp internal
ciscoasa(config)# group-policy mypp attributes
ciscoasa(config-group-policy)# address-pool value net100
ciscoasa(config-group-policy)# dns-server value 202.96.209.133
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value Split_Tunnel_Li$
說明:定義了位址池,以及隧道分離資訊,該組名不是Ez××× Client在建立撥号時定義的名字。
(5)配置使用者隧道資訊:
ciscoasa(config)# tunnel-group chinaccie type ipsec-ra
ciscoasa(config)# tunnel-group chinaccie general-attributes
ciscoasa(config-tunnel-general)# default-group-policy mypp
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group chinaccie ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key cisco123
ciscoasa(config-tunnel-ipsec)# exit
說明:定義了使用者隧道名chinaccie的基本參數,認證密碼為cisco123,Ez××× Client在建立撥号時,組名即為該隧道名chinaccie。
(6)關聯crypto map:
ciscoasa(config)# crypto ipsec transform-set ccie esp-3des esp-sha-hmac
ciscoasa(config)# crypto dynamic-map mymap 1 set transform-set ccie
ciscoasa(config)# crypto map ez*** 10 ipsec-isakmp dynamic mymap
ciscoasa(config)# crypto map ez*** interface outside
ciscoasa(config)# crypto isakmp enable outside
說明:将crypto map與IPsec transform關聯起來,并應用于接口。
(7)建立使用者名和密碼:
ciscoasa(config)# username chinaccie password chinaccie
說明:建立了本地使用者名chinaccie以及密碼chinaccie,防火牆上可以不用AAA來定義認證
轉載于:https://blog.51cto.com/370220760/1714397