easy vpn

gw:

aaa new-model

aaa authentication login remote local

aaa authorization network remote local

username cisco password 0 cisco

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

crypto isakmp client configuration group ipsecgroup

key cisco

pool ippool

crypto isakmp profile cisco

match identity group ipsecgroup

client authentication list remote

isakmp authorization lsit remote

client configuration address respond

crypto ipsec transform-set cisco esp-des esp-md5-hmac

crypto dynamic map cisco 10

set dynamic map cisco 10

set transform-set cisco

set isakmp-profile cisco

reverse-route

crypto map cisco 10 ipsec-isakmp dynamic cisco

ip local pool ippool 123.1.1.100 123.1.1.200

ip route 0.0.0.0 0.0.0.0 202.100.2.100

int f3/0

crypto map cisco

ez.in:

ip route 0.0.0.0 0.0.0.0 10.1.1.1

gw.in

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ez.c

ip route 0.0.0.0 0.0.0.0 202.100.1.100

easy vpn模式:

client mode:类似于软件客户端,当拨到gw上去,gw区分不了这是一个客户的路由器还是一个标准的pc,它都会分配一个ip地址,就像分配给我们的软件客户端一样,路由器会把身后的网络做一个pat转换到这个分配的ip地址,通过这个pat后的ip地址来访问公司内部网络。它会获得一个地址,当访问中心的时候会有一个pat存在,因为没有做tunnel分割技术所以不能访问互联网,中心不能反过来访问客户端身后网络。

ez.c:

cry ipsec client ezvpn cisco

mode client

peer 202.100.2.1

connect manual(连接方式手动,可以选择自动或acl触发)

group ipsecgroup key cisco (设置group和key)

inter f1/0

cry ipsec client ezvpn cisco outside

int f0/0

cry ipsec client ezvpn cisco inside

cry ipsec client ezvpn connect(手动发起连接)

cry ipsec client ezvpn xauth(输入密码账号命令)

cisco (账号)

password cisco

show cry ipsec lient ezvpn(查看是否拨上去了)

客户模式添加tunnel 分割:

gw:

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

crypto isakmp client configuration group ipsecgroup

acl 101

ez.c:

clear cry ipsec client ezvpn

cry ipsec lient ezvpn connect

cry ipsec client ezvpn xauth

username:cisco

password:cisco

show cry ipsec client ezvpn

network mode:(网络扩展模式)

用自己原始地址访问中心,就像lan to lan一样,可以互相的访问,网络扩展模式拨上去是不会获得任何ip地址的。

ez.c

cry ipsec lient ezvpn cisco

mode network-extension

cry ipsec client ezvpn connect

cry ipsec client ezvpn xauth

username:cisco

password:cisco

show cry ipsec client ezvpn

没有pat,不会获取地址,不能访问互联网,可以互相访问。

network mode(网络扩展模式)加上tunnel分割列表

gw:

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

crypto isakmp client configuration group ipsecgroup

acl 101

不会获得ip地址,可以访问互联网,访问互联网有一个pat,访问企业中心没有pat用自己真实的地址。

mode network-plus:

这个模式是网络扩展模式,客户与中心都是直接的访问,但是他会从中心获得一个ip地址,这个ip地址不做任何转换。仅仅提供一个ip地址,让中心能够网管我们的路由器,

ez.c:

cry ipsec client ezvpn cisco

mode network-plus

cry ipsec client ezvpn connect

cry ipsec client ezvpn xauth

拨号方式:

cry ipsec client ezvpn cisco

xauth userid mode http-intercept(使用http来拨号)

在网页上输入

http://192.168.1.100