Cisco easy *** 基本配置手册

xiahe999

　　R1：
　　全局：
　　int e0/0
　　ip add 192.168.12.1 255.255.255.0
　　exit
　　R2:
　　全局：
　　Router(config)#aaa new-model     //开启aaa认证
　　Router(config)#aaa authentication login default local   //优化命令，设置aaa认证时使用本地数据库
　　Router(config)#username cisco password cisco   //创建本地数据库，用户：cisco   密码：cisco
　　Router(config)#aaa authentication login ez*** local   //在x-auth 1.5步认证阶段使用本地数据库中的user和password进行认证，ez***为自定义名称。
　　Router(config)#aaa authorization network forez*** local   //在授权（助推数据库）阶段时，使用本地数据库库中的user和pass进行认证，forez***为自定义名称。
　　Router(config)#crypto isakmp policy 10   //设置ike阶段sa
　　Router(config-isakmp)#authentication pre-share   //认证使用共享密钥
　　Router(config-isakmp)#hash sha   //哈希算法使用sha算法
　　Router(config-isakmp)#encryption 3des   //加密使用3des非对称加密。
　　Router(config-isakmp)#group 2     //DH组使用组2.
　　exit
　　Router(config)#ip local pool aa-pool 192.168.100.1 192.168.100.20   //定义一个ip地址池范围为：192.168.100.1～192.168.100.20.
　　Router(config)#access-list 101 permit ip 192.168.12.0 0.0.0.255 any   //设置一个IP地址范围，这个ACL中定义的地址将被助推给client做隧道分离用，即匹配这个ACL中的流量才会使用***链路。
　　Router(config)#crypto isakmp client configuration group yutian     //定义ike1阶段客户端认证组名为yutian。
　　Router(config-isakmp-group)#key cisco123     //组密钥为cisco123.
　　Router(config-isakmp-group)#pool aa-pool     //将aa-pool地址池中的IP地址范围设置给client。
　　Router(config-isakmp-group)#acl 101     //讲ACL 101中定义的内容助推给client用作隧道分离。
　　exit
　　Router(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac   //创建转换集，名称为myset，使用esp模式3des加密，使用esp模式哈希算法sha。
　　exit
　　Router(config)#crypto dynamic-map dmap 10   //创建一个动态map映射，dmap为自定义名称！！
　　Router(config-crypto-map)#set transform-set myset   //设置调用转换集myset
　　Router(config-crypto-map)#reverse-route   //开启反向路由注入（不开此项，数据包可以从client到达内网，但是无法从内网返回client，因为内网路由器没有到达client的路由）
　　Router(config-crypto-map)#exit
　　Router(config)#crypto map map123 10 ipsec-isakmp dynamic dmap   //创建一条静态MAP，自定义名称为map123，将名为dmap的动态map绑定到静态map上（因为动态map不能应用到接口，所以要先绑定到静态map上）
　　Router(config)#crypto map map123 client authentication list ez***   //server在x-auth步对client进行认证时将调用ez***中的定义！！
　　Router(config)#crypto map map123 isakmp authorization list forez***   //调用授权，授权名称为forez***！！
　　Router(config)#crypto map map123 client configuration address respond   //让server响应client拨号请求！！
　　Router(config)#int e0/1
　　Router(config-if)#crypto map map123   //在e0/1接口上调用map映射map123！！