侧边栏壁纸
博主头像
落叶人生博主等级

走进秋风,寻找秋天的落叶

  • 累计撰写 144663 篇文章
  • 累计创建 28 个标签
  • 累计收到 9 条评论
标签搜索

目 录CONTENT

文章目录

【思科×××】远程访问×××简单演示

2023-05-28 星期日 / 0 评论 / 0 点赞 / 43 阅读 / 9476 字

前提:目前远程访问×××的应用范围非常广,与站点到站点式的***不同,远程访问***一般用于员工在外地出差或者在家里的时候,需要访问公司内部服务器的情形。实验拓扑:需求:如图,用一朵浮云来代表出差的员

.

前提:目前远程访问×××的应用范围非常广,与站点到站点式的***不同,远程访问***一般用于员工在外地出差或者在家里的时候,需要访问公司内部服务器的情形。

实验拓扑:

 

需求:如图,用一朵浮云来代表出差的员工,R1为网关,R2为运营商路由器,R3代表公司外网路由器,R3上环回口作为公司内网。要求客户端可以访问公司内网地址。

实验步骤:

  1. 首先进行基本配置,如下

 

用虚拟机V1模拟客户端

 

R1

f0/1: 192.168.80.1/24

f0/0: 12.0.0.1/24

 

R2

f0/1: 12.0.0.2/24

f0/0: 23.0.0.2/24

 

R3

f0/0: 23.0.0.3/24

l0: 192.168.30.1/24 (公司内网)

 

在网关上指一条默认给R2

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

 

做PAT
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config-if)#ip nat outside
R1(config)#access-list 10 permit any
R1(config)#ip nat inside source list 10 int f0/0 overload

 

R3也要指一条默认给R2

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

 

首先在虚拟机上测试下能否ping 通R3外网口

 

 

能ping通,且debug R3发现PAT已配置成功。

 

2.配置远程访问×××

在R3上配置

(1)定义认证授权方式,以及本地用户名密码

 

aaa new-model
aaa authentication login rz local                //定义认证方式为本地认证
aaa authorization network sq local             //定义授权方式为本地授权
username test password 0 abc123            //定义本地用户名、密码

 

 

(2)定义阶段一策略,客户端软件会内置对应的策略

crypto isakmp policy 1
 encr 3des
 hash sha
 authentication pre-share
 group 2
!


(3)定义推送给客户端的组策略(客户端IP不固定,需要由服务器推送配置)

crypto isakmp client configuration group ez***            //配置组名ez***
.

 key 123456                                                             //定义预共享密钥
 dns 9.9.9.9                                                             //指定内网DNS
 pool vip                                                                  //调用地址池
 acl 110                                                                  //为客户端指定感兴趣流
 save-password                                                       //允许客户端可以保存密码
 split-dns benet.com                                                //当客户端访问该域后缀时通过内网DNS解析
 netmask 255.255.255.0                                          //指定客户端的子网掩码
!
!

 

(4)定义阶段二策略

crypto ipsec transform-set bset esp-3des esp-sha-hmac
!
crypto dynamic-map bmap 1
 set transform-set bset
 reverse-route                                                    //启用路由反向注入,为连接成功的客户端产生32位路由
crypto map mymap client authentication list rz                                //调用认证策略
crypto map mymap isakmp authorization list sq                               //调用授权策略
crypto map mymap client configuration address respond                 //响应客户端的地址请求
crypto map mymap 1 ipsec-isakmp dynamic bmap                          //将动态map关联到静态map

 

(6)定义地址池,和指定感兴趣流

ip local pool vip 8.8.8.100 8.8.8.200                                               //定义地址池
access-list 110 permit ip 192.168.30.0 0.0.0.255 any           //定义到客户端感兴趣流(公司内网地址),客户端会反转。

 

配置完成,将mymap应用在R3外网口

interface FastEthernet0/0
 crypto map mymap
 

3.测试结果。

在虚拟机v1上进行模拟客户端登录。

首先需要安装一款软件cisco ***client

 

安装完毕后,将虚拟机的网关设为192.168.80.1

打开***client,设置如下

 

下面可以右击保存的entry连接了

输入设置的账号密码

 

连接完毕,可以查看属性。

 

可以发现,已经获得服务器分配的内网地址8.8.8.100/24了,已经可以访问公司内网了,实验完毕。

 

 

 

 

 

 

 

.

广告 广告

评论区