论坛 › Cisco › Cisco 路由器远程拨入***

wcdz 发表于 2018-7-17 11:08:25

Cisco 路由器远程拨入***

　　//添加***用户为了能够鉴别用户，需要为远程***访问的客户设置相应的***帐号
　　R1(config)#username [用户名] password [密码]
　　//aaa：验证，授权，审计
　　R1(config)#aaa new-model            //开启AAA验证
　　R1(config)#aaa authentication login default local          //设置验证管道
　　R1(config)#aaa authorization network [授权名称] local //设置接受网络连接(PPP),INTERNET连接和串行线路的连接授权
　　R1(config)#aaa authentication login [验证名称] local//设置本地数据库验证
　　//配置地址池
　　R1(config)#ip local pool [地址池名称] [启始地址] [结束地址] //建立一个客户端IP地址池
　　//第一阶段配置
　　//建立IKE协商
　　R1(config)#crypto isakmp policy [优先级]       //范围：1-10000
　　R1(config-isakmp)#authentication pre-share         //认证方法：预共享密钥
　　R1(config-isakmp)#encryption 3des                        //数据算法：加密算法
　　R1(config-isakmp)#hash sha                                       //完整性算法：hash算法
　　R1(config-isakmp)#group 2                                          //DH密钥组：1、2、5
　　R1(config-isakmp)#exit
　　R1(config)#access-list 101 permit ip [内网网段] [反掩码] any //允许内网到所有地方
　　//设置客户端软件验证方法
　　R1(config)#crypto isakmp client configuration group [验证组名称]
　　R1(config-isakmp-group)#key [验证密码]
　　R1(config-isakmp-group)#dns                            //可选
　　R1(config-isakmp-group)#domain [域名]                        //可选
　　R1(config-isakmp-group)#pool [地址池名称]               //设置客户端拨入成功后给分配的地址范围
　　R1(config-isakmp-group)#acl [访问规则号]             //将访问规则应用到验证组
　　R1(config-isakmp-group)#save-password                         //保存配置
　　R1(config-isakmp-group)#exit
　　//第二阶段配置
　　/*
　　*设置隧道变换集
　　*建立Transform Set
　　*所谓的transform set其实就是加密方法和认证方法的一种组合
　　*在建立IPSec SA的时候双方需要协商使用相同的Transform Set以保护数据
　　*/
　　R1(config)#crypto ipsec transform-set [变换集名称] esp-3des esp-sha-hmac
　　R1(cfg-crypto-trans)#mode tunnel                   //设置为隧道模式
　　R1(cfg-crypto-trans)#exit
　　//建立动态映射
　　R1(config)#crypto dynamic-map [动态映射名称] 10
　　R1(config-crypto-map)#set transform-set [变换集名称]
　　R1(config-crypto-map)#reverse-route
　　//定义加密图
　　R1(config)#crypto map [加密图名称] client authentication list [验证名称]//客户端验证方法[本地数据库验证]
　　R1(config)#crypto map [加密图名称] isakmp authorization list [授权名称]   //定义所有网络连接(PPP),INTERNET连接和串行线路的连接授权
　　R1(config)#crypto map [加密图名称] client configuration address respond         //响应client分配地址的请求
　　R1(config)#crypto map [加密图名称] 10 ipsec-isakmp dynamic [动态映射名称]
　　R1(config)#int e0/0
　　R1(config-if)#ip address 192.168.1.1 255.255.255.0
　　R1(config-if)#crypto map [加密图名称]                                                      //将加密图应用到接口上
　　R1(config)#int e0/1
　　R1(config-if)#ip address 10.1.1.1 255.255.255.0
　　R1(config)#ip route 0.0.0.0 0.0.0.0 e0/0                                              //设置静态路由

查看完整版本: Cisco 路由器远程拨入***