【思科×××】远程访问×××简单演示

前提：目前远程访问×××的应用范围非常广，与站点到站点式的***不同，远程访问***一般用于员工在外地出差或者在家里的时候，需要访问公司内部服务器的情形。实验拓扑：需求：如图，用一朵浮云来代表出差的员

.

前提：目前远程访问×××的应用范围非常广，与站点到站点式的***不同，远程访问***一般用于员工在外地出差或者在家里的时候，需要访问公司内部服务器的情形。

实验拓扑：

 

需求：如图，用一朵浮云来代表出差的员工，R1为网关，R2为运营商路由器，R3代表公司外网路由器，R3上环回口作为公司内网。要求客户端可以访问公司内网地址。

实验步骤：

1. 首先进行基本配置，如下

 

用虚拟机V1模拟客户端

 

R1

f0/1: 192.168.80.1/24

f0/0: 12.0.0.1/24

 

R2

f0/1: 12.0.0.2/24

f0/0: 23.0.0.2/24

 

R3

f0/0: 23.0.0.3/24

l0: 192.168.30.1/24 (公司内网）

 

在网关上指一条默认给R2

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

 

做PAT
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#ip nat outside
R1(config)#access-list 10 permit any
R1(config)#ip nat inside source list 10 int f0/0 overload

 

R3也要指一条默认给R2

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

 

首先在虚拟机上测试下能否ping 通R3外网口

 

 

能ping通，且debug R3发现PAT已配置成功。

 

2.配置远程访问×××

在R3上配置

（1）定义认证授权方式，以及本地用户名密码

 

aaa new-model
aaa authentication login rz local                //定义认证方式为本地认证
aaa authorization network sq local             //定义授权方式为本地授权
username test password 0 abc123            //定义本地用户名、密码

 

 

（2）定义阶段一策略，客户端软件会内置对应的策略

crypto isakmp policy 1
 encr 3des
 hash sha
 authentication pre-share
 group 2
!

(3)定义推送给客户端的组策略(客户端IP不固定，需要由服务器推送配置）

crypto isakmp client configuration group ez***            //配置组名ez***
.

 key 123456                                                             //定义预共享密钥
 dns 9.9.9.9                                                             //指定内网DNS
 pool vip                                                                  //调用地址池
 acl 110                                                                  //为客户端指定感兴趣流
 save-password                                                       //允许客户端可以保存密码
 split-dns benet.com                                                //当客户端访问该域后缀时通过内网DNS解析
 netmask 255.255.255.0                                          //指定客户端的子网掩码
!
!

 

(4)定义阶段二策略

crypto ipsec transform-set bset esp-3des esp-sha-hmac
!
crypto dynamic-map bmap 1
 set transform-set bset
 reverse-route                                                    //启用路由反向注入，为连接成功的客户端产生32位路由
crypto map mymap client authentication list rz                                //调用认证策略
crypto map mymap isakmp authorization list sq                               //调用授权策略
crypto map mymap client configuration address respond                 //响应客户端的地址请求
crypto map mymap 1 ipsec-isakmp dynamic bmap                          //将动态map关联到静态map

 

(6)定义地址池，和指定感兴趣流

ip local pool vip 8.8.8.100 8.8.8.200                                               //定义地址池
access-list 110 permit ip 192.168.30.0 0.0.0.255 any           //定义到客户端感兴趣流（公司内网地址）,客户端会反转。

 

配置完成，将mymap应用在R3外网口

interface FastEthernet0/0
 crypto map mymap
 

3.测试结果。

在虚拟机v1上进行模拟客户端登录。

首先需要安装一款软件cisco ***client

 

安装完毕后，将虚拟机的网关设为192.168.80.1

打开***client,设置如下

 

下面可以右击保存的entry连接了

输入设置的账号密码

 

连接完毕，可以查看属性。

 

可以发现，已经获得服务器分配的内网地址8.8.8.100/24了，已经可以访问公司内网了，实验完毕。

 

 

 

 

 

 

 

.