Cisco easy VPN基本配置手册

R1：
全局：
int e0/0
ip add 192.168.12.1 255.255.255.0
exit

R2:
全局：
Router(config)#aaa new-model     //开启aaa认证

Router(config)#aaa authentication login default local   //优化命令，设置aaa认证时使用本地数据库

Router(config)#username cisco password cisco   //创建本地数据库，用户：cisco   密码：cisco

Router(config)#aaa authentication login ezvpn local   //在x-auth 1.5步认证阶段使用本地数据库中的user和password进行认证，ezvpn为自定义名称。

Router(config)#aaa authorization network forezvpn local   //在授权（助推数据库）阶段时，使用本地数据库库中的user和pass进行认证，forezvpn为自定义名称。

Router(config)#crypto isakmp policy 10   //设置ike阶段sa

Router(config-isakmp)#authentication pre-share   //认证使用共享密钥

Router(config-isakmp)#hash sha   //哈希算法使用sha算法

Router(config-isakmp)#encryption 3des   //加密使用3des非对称加密。 www.it165.net

Router(config-isakmp)#group 2     //DH组使用组2.

exit

Router(config)#ip local pool aa-pool 192.168.100.1 192.168.100.20   //定义一个ip地址池范围为：192.168.100.1～192.168.100.20.

Router(config)#access-list 101 permit ip 192.168.12.0 0.0.0.255 any   //设置一个IP地址范围，这个ACL中定义的地址将被助推给client做隧道分离用，即匹配这个ACL中的流量才会使用VPN链路。

Router(config)#crypto isakmp client configuration group yutian     //定义ike1阶段客户端认证组名为yutian。

Router(config-isakmp-group)#key cisco123     //组密钥为cisco123.

Router(config-isakmp-group)#pool aa-pool     //将aa-pool地址池中的IP地址范围设置给client。

Router(config-isakmp-group)#acl 101     //讲ACL 101中定义的内容助推给client用作隧道分离。

exit

Router(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac   //创建转换集，名称为myset，使用esp模式3des加密，使用esp模式哈希算法sha。

exit

Router(config)#crypto dynamic-map dmap 10   //创建一个动态map映射，dmap为自定义名称！！

Router(config-crypto-map)#set transform-set myset   //设置调用转换集myset

Router(config-crypto-map)#reverse-route   //开启反向路由注入（不开此项，数据包可以从client到达内网，但是无法从内网返回client，因为内网路由器没有到达client的路由）

Router(config-crypto-map)#exit

Router(config)#crypto map map123 10 ipsec-isakmp dynamic dmap   //创建一条静态MAP，自定义名称为map123，将名为dmap的动态map绑定到静态map上（因为动态map不能应用到接口，所以要先绑定到静态map上）

Router(config)#crypto map map123 client authentication list ezvpn   //server在x-auth步对client进行认证时将调用ezvpn中的定义！！

Router(config)#crypto map map123 isakmp authorization list forezvpn   //调用授权，授权名称为forezvpn！！

Router(config)#crypto map map123 client configuration address respond   //让server响应client拨号请求！！

Router(config)#int e0/1

Router(config-if)#crypto map map123   //在e0/1接口上调用map映射map123！！