VN用一致的策略和密钥管理方式在单一的部署中可以整合

EasyVPN配置概述：CiscoEasyVPN用一致的策略和密钥管理方式在单一的部署中可以整合所有的EasyVPNRemote设备（Cisco路由器、CiscoPIX防火墙、CiscoVPN3002硬件客户端或软件客户端）这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。拓扑图：实验目的：通过使用EasyVPN技术来实现，远程客户端的用户能够直接访问到服务器端内部网络，简单来说就是客户端PC能ping通服务器端内部的IP地址，并能通过IE浏览R5上面的WEB服务器主页。配置好Server端以后使用硬件路由器作为Client，以实现我们的远程访问。配置好Server端以后使用软件作为Client，以实现我们的远程访问。使用Tunnel分割模式，记我们与Server端联上去以后又能访问其他的公共网络。实验配置及步骤：一、这里将配置一些基本的连通性和一个基本的配置命令，并用ping测试。R1的基本配置：忠Route浅r>讯en依Route浇r#呢conf棋t病Enter总conf妄igura叨tion麻comma挎nds,敢onep遥erli谋ne.锈Endw饺ithC束NTL/Z昂.情Route扣r(con肚fig)#秒host秆R1贺R1(co伐nfig)臭#捡noip输dol铅o膀R1(co魂nfig)着#始line赛con0芽R1(co袋nfig-告line)备#易logg坑syn冬R1(co却nfig-赖line)帅#住exec-遮timeo桑ut0雕0倚R1(co帽nfig-途line)缝#黑exi厨t宰R1(co密nfig)止#励intf页a0/0狠R1(co狱nfig-殿if)#回ipad拦d61.碗61.61墨.125东5.255竟.255.喘0尖R1(co裳nfig-条if)#雅nosh猎ut贱R1(co宅nfig-轿if)#饼exit版R1(co阁nfig)到#与intl剃o0逐R1(co疲nfig-抱if)#戴ipad最d李漆.125赌5.255切.255.窑0打R1(co偿nfig-粱if)#怎nosh榨ut笨R1(co稻nfig-貌if)#漂exit垦R1(co月nfig)室#兰ipro家ute啦桨.00.亡尺fa0/速0驰R1(co晨nfig)批#荒route悟rosp志f110刚R1(co浅nfig-炼route做r)#剧route址r-id阁110.0滑.0.1现R1(co歉nfig-衰route今r)#恩net6退1.61.圾61.0路0.0.秩0消.255大a捷0西R1(co冻nfig-册route放r)#粘exit苗R2的基本胳配置：散Route旗r>针en状Route面r#歉conf定t山Enter雀conf震igura想tion浩comma孔nds,嚷onep没erli梨ne.怪Endw杜ithC怨NTL/Z阴.倦Route露r(con算fig)#袜host拜R2春R2(co殃nfig)肥#况noip焦dol敌o轿R2(co砍nfig)觉#滴line陕con0学R2(co侨nfig-觉line)深#章logg胸syn请R2(co跟nfig-症line)隐#遥exec-而timeo解ut0岭0竞R2(co邻nfig-府line)拼#蜂exit兼R2(co抱nfig)晶#惹int个fa0/栗0元R2(co牵nfig-派if)#情ipad散d糟喊.125凶5.255稀.255.霸0灭R2(co皱nfig-价if)#寿nosh共ut减R2(co碑nfig-瓦if)#张exit配R2(co欲nfig)卷#衣ints塌1/1居R2(co蜜nfig-塌if)#格ipad跳d24.漠谅255.匹255.2糠55.0印R2(co抹nfig-唉if)#货nosh廉ut汁R2(co勺nfig-加if)#虫exit尝R2(co刊nfig)摧#衡acces沃s-lis匪t1p座ermit求步寇.00.唐泼55妥R2(co棉nfig)污#创ipna锤tpoo悦lnat缘24.0礼.0.2镇24.0.短0.2n柳etmas叨k255紧.255.鸦255.0喇R2(co惭nfig)愧#叼ipna骤tins占ides谢ource俱list停1po漫olna霜tove尝rload每熊R2(co铃nfig)栗#苹intf互a0/0沟R2(co蓬nfig-迹if)#敬ipna限tins飘ide遣洪R2(co指nfig-任if)#上ints池1/1句R2(co彼nfig-毅if)#柄ipna素tout临side指R2(co讲nfig-升if)#忌exit本R2(co疯nfig)灭#仿ipro队ut倦e干钻.00.鱼脆s1/1思R2(co裤nfig)温#纳route芳rosp删f110要R2(co留nfig-堆route秩r)#洗route递r-id耳110.0瞒.0.2见R2(co拘nfig-织route寄r)#振net2汽更.0海0.0.粪0穷.255狂a债0云R2(co芳nfig-否route亮r)#肌exit尘R3的基本绩配置：凭Route剖r>敲en徒Route秀r#旱conf兵t趋Enter软conf肺igura吊tion隆comma趟nds,湖onep悟erli昏ne.壮Endw劣ithC滚NTL/Z扫.贵Rou眼ter(c棉onfig灶)#隶host茎R3躲R3(co珍nfig)鸡#锁noip狭dol遣o估R3(co仆nfig)掉#勉line录con0宿R3(co野nfig-谈line)己#侨logg观syn云R3(co疗nfig-欣line)晌#令exec-交timeo尼ut0白0勉R3(co菌nfig-研line)腰#压exit径R3(co款nfig)姥#夏intf易a0/0俗R3(co群nfig-岁if)#吸ipad懂d61.沈61.61距.325殊5.255押.255.召0脂R3(co犯nfig-茎if)#久nosh撒ut叛R3(co陪nfig-讽if)#谊exit闷R3(co迷nfig)压#冻intl爸o0准R3(co乘nfig-烟if)#谁ipad授d旬奥.325黎5.255魔.255.附0禽R3(co贫nfig-伐if)#肿nosh贺ut哑R3(co带nfig-撑if)#坛exit区R3(co遭nfig)血#富ipro双ute凯盈.00.扣目fa0/朝0密R4榨的基本配置下：壁Route汁r>爸en快Route炒r#驳conf掌t摄Enter智conf独igura吴tion突comma戚nds,育onep初erli渣ne.抗Endw膨ithC苦NTL/Z乞.婆Route悦r(con蛮fig)#珍host武R4茎R4(co弹nfig)柴#挡noip羊dol红o洞R4(co芳nfig)倦#惨line疫con0观R4(co洞nfig-避line)缘#殊logg都syn禽R4(co幕nfig-衔line)棕#增exec-财timeo显ut0借0移R4(co巧nfig-畅line)取#御exit讨R4(co今nfig)势#亩ints播1/0朵R4(co娘nfig-叮if)#虚ipad阅d24.损怖255.登255.2均55.0蛮R4(co宴nfig-烟if)#懂nosh似ut法R4(co贤nfig-循if)#辽exit坦斯R4(co桥nfig)研#诞intf蛛a0/0渠R4(co诱nfig-吹if)#乱ipad忘d61.叠61.61掠.425仿5.255下.255.漂0粪R4(co仍nfig-雅if)#掠nosh斑ut陡R4(co司nfig-碎if)#e除xit梁R4(co洁nfig)谈#伞route摆rosp营f110身R4(co蛋nfig-掘route邮r)#酸route舞r-id共110.0哭.0.4书R4(co遭nfig-闪route悠r)#摧net2腰提.0剂0.0.恰0资.255脊a疲0枝R4(co趁nfig-裳route腿r)#誓net6纳1.61.辣61.0摆0.0.养0董.255顶a浆0茂R4(co伟nfig-附route滴r)#皱exit户R4(co尾nfig)范#甲R5撞的基本配置苗：则Route肃r>小en临Route亡r#守conf河t玩Enter未conf郑igura软tion这comma加nds,背onep寄erli去ne.灰Endw椒ithC窄NTL/Z卖.龄Route偿r(con版fig)#疏host往R5荷R5(co痕nfig)厚#栏noip嫌dol妖o找R5(co户nfig)禁#帽line肢con0糊R5(co面nfig-窝line)枝#侍logg伞syn云R5(co然nfig-血line)桐#爽exec-棚timeo议ut0吹0继R5(co穗nfig-谷line)疑#锋exit愁R5(co洲nfig)驼#月intf伤a0/0溪R5(co泽nfig-腿if)#返ipad惊d61.欢61.61膜.525错5.255勺.255.礼0骗R5(co把nfig-巧if)#磨nosh司ut竭R5(co佛nfig-致if)#泽exit项R5(co浆nfig)兽#船intl杂o0茧R5(co游nfig-族if)#自ipad煎d闯傅.525幼5.255浙.255.僚0障R5(co拥nfig-四if)#胡nosh痒ut窑R5(co萍nfig-织if)#少exit死R5(co仅nfig)概#普route暮rosp稳f110依R5(co钓nfig-价route败r)#俗route棚r-id班110.0返.0.5适R5(co笑nfig-劣route侄r)#竟net6亭1.61.蛇61.0草0.0.皱0院.255亏a政0犯R5(co姜nfig-唯route糠r)#车net粒溪.00.固0.删0.255拉a庙0若R5(co遭nfig-继route灭r)#厦exit帅R5(co知nfig)快#削line辰vty0所4藏R5(co激nfig-卷line)尚#者nolo益gin串R5(co接nfig-室line)守#丽exit嫩R5(co添nfig)孩#则现在在虽PC糠上面测试一迫下看看NA猾T做成功没得有！涝从上图可看萌R难2珍上的驻NAT恰配置已经起基效蹄现在我们开炒始Easy保VPNS顿erver忽端的配置：鸭路由器的陕AAA穷配置：搅R1(co柔nfig)塔#福usern榨amec祥isco质passw协ordc舱isco设置X-auth认证参数设置X-auth认证参数，用于远程登录使用拦R1(co陵nfig)夺#国aaan江ew-mo悲delEZVPN的serverEZVPN的server一定要启用aaa功能亲R1(co窑nfig)今#婶aaaa促uthen与ticat醉ionl理ogin拢LOGIN地none按惯例解放相关的接口按惯例解放相关的接口熔R1(co差nfig)恢#泽line擦con0衬R1(co猛nfig-泽line)燥#优login隙auth疾entic影ation牛LOGI篮N欠R1(co访nfig-戒line)属#速exit孟R1(co限nfig)锹#亡line法vty0渴4秒R1(co腐nfig-曲line)般#叼login碑auth市entic详ation事LOGI住N吗R1(co傲nfig-慌line)少#芬exit织EZVPN滚的征aaa使配置，两个程list呼（认证算list跌和授权役list贩）。一个是龙X-aut澡h浑的认证洽list副；一个是梨mode狠confi册gurat笔ion盲的授权恭list掘，也就是推匙送哪些策略塌给费clien流t衫，也可理解染为给蕉clien障t夺受权。注意行都是本地的蛮，并且稍后促设置的组也券是本地的。蝇R1(co村nfig)责#按aaaa土uthen锅ticat环ionl疯ogin宋Remot隆e-Acc汤essl叠ocal对用户身份创建ezauthen验证列表，并采用本地数据库验证或采用服务器验证对用户身份创建ezauthen验证列表，并采用本地数据库验证或采用服务器验证仔R1(co粥nfig)僵#碌aaaa荒uthor闪izati拉onne漂twork秩vpn-乎group具loca柿l对用户授权创建vpn-group列表，本地授权或对用户授权创建vpn-group列表，本地授权或服务器授权鹊R1(co坛nfig)屑#乱iplo幅calp星oolR刘emote属-Pool引172.特16.1.刚1172资.16.1煮.100定义给远程客户端分配的IP地址池定义给远程客户端分配的IP地址池袖R1(co付nfig)浇#腿crypt育oisa翻kmpe锅nable启用isakmp启用isakmp言R1(co分nfig)盟#梁crypt港oisa拾kmpk锈eepal挺ive2裤010打开IKEDPD打开IKEDPD仰R1(co罪nfig)疤#袖crypt卖oisa趣kmpp班olicy革10矮R1(co堆nfig-红isakm寺p)#隆authe列ntica唤tion趣pre-s阵hare注意这决定了是主动模式注意这决定了是主动模式暖R1(co柜nfig-络isakm匙p)#直encry再ption屠3des葡R1(co略nfig-渴isakm抬p)#吩group次2注意只能用2注意只能用2萝R1(co贤nfig-阴isakm压p)#薄hash纷md5如果是软件的client就必须是如果是软件的client就必须是md5，如果是硬件就无所谓梢R1(co医nfig-皮isakm汽p)#论lifet雹ime8脖6400拆R1(co央nfig-炸isakm骨p)#索exit为远程VPN客户端接入建立ISAKMP策略父进入许1.5定阶段仰，左在本地定义克group微的名以及组都策略也就是笨mode淹confi鞭gurat蕉ion绳的策略啊：为远程VPN客户端接入建立ISAKMP策略属R1(co泰nfig)义#踪crypt蚀oisa提kmpc结lient万conf留igura浆tion诞group标test似R1(co涝nfig-朋isakm惭p-gro碗up)#残keyc孝isco耐R1(co般nfig-衬isakm芳p-gro拐up)#普pool撞Remot克e-Poo小l去R1(co甩nfig-散isakm晚p-gro浮up)#?要代ISAKM娇Pgro送uppo差licy摆confi霉gcom饮mands植:唇脉a傲ccess州-rest吹rict限制从哪个端口拨入贸R培estri哗ctcl井ients训int便hisg滤roup妹toan精inte销rface限制从哪个端口拨入芝活acl做tunnel分割遇原教回Spec悼ifys殖plit驱tunne忌ling方inclu陆sion旗acces栗s-lis炉tnum武be做tunnel分割拴亮group蜡-lock用于AAA中用户和组的一个绑定，本实验中是本地用户本地组，与此无关取廉E韵nforc贞egro毕uplo用于AAA中用户和组的一个绑定，本实验中是本地用户本地组，与此无关培R1(co删nfig-财isakm嘉p-gro类up)#那dns6慰1.139辩.2.69推送DNS推送DNS疲R1(co爱nfig-俊isakm水p-gro吼up)#破domai歉ncis荐co.co疼m推送domain推送domain能R1(co痕nfig-牺isakm念p-gro肉up)#掠netma艰sk25弦5.255态.255.岁0如果这个不设置的话，将使用默认的掩码。如果这个不设置的话，将使用默认的掩码。衬R1(co被nfig-灭isakm录p-gro梯up)#垂exit伍R1(co嫁nfig)泼#煌crypt割oisa位kmpp皮rofil茄eMYP龙ROFIL蒙E创建ezvpn策略配置文件创建ezvpn策略配置文件稍%Ap焦rofil启eis门deeme瓜dinc恐omple次teun我tili坐thas疲matc汇hide好ntity勿stat农ement只s各R1(co邻nf-is侨a-pro折f)#燥match障iden耽tity冰group榜test采用组验证方法采用组验证方法论R1(扔conf-首isa-p差rof)#么clien挪taut纸henti依catio饶nlis爷tRem躺ote-A狗ccess对用户身份验证调用AAA验证列表对用户身份验证调用AAA验证列表葵R1(co隙nf-is抱a-pro代f)#煎isakm舟paut驾horiz猜ation捏list洗vpn-给group对用户授权调用AAA授权列表对用户授权调用AAA授权列表贞R1(co毯nf-is跪a-pro锹f)#唱clien谱tcon酷figur剑ation押addr宰essr轰espon陈d地址的分配方式：软件VPN端版本地址的分配方式：软件VPN端版本3.0以下用initiate，也就是硬推；3.0以上用respond，是server响应client的请求而分配朴R1(co雾nf-is置a-pro谎f)#临exit畜到此第一阶昆段和第倒1.5悼阶段配置完超毕，进入第矩二阶段配置甲：机R1(co烟nfig)尤#违crypt浴oips闭ectr祖ansfo缘rm-se齐tMYS虽ETes风p-3de绘sesp庆-md5-口hmac定义转换集定义转换集线R1(cf欲g-cry掠pto-t含rans)咐#样mode钱tunne胆l模式只能用默认的tunnel模式只能用默认的tunnel县R1(cf篇g-cry不pto-t沈rans)通#但exit趋动态加密映广射配置畅：渔R1(co芦nfig)腿#明crypt择odyn驴amic-刃mapM蹦YMAP接10创建MYMAP的动态加密映射创建MYMAP的动态加密映射筹R1(co都nfig-霸crypt抛o-map缘)#扁sett傲ransf稻orm-s身etMY五SET调用转换集调用转换集抓R1(co茫nfig-绵crypt毁o-map酸)#壶seti愿sakmp恳-prof非ileM鱼YPROF充ILE调用EZVPN第一阶段策略配置文件调用EZVPN第一阶段策略配置文件堡R1(co脑nfig-牛crypt养o-map傻)#众rever守se-ro钳ute以前是在静态map下的反向路由注入以前是在静态map下的反向路由注入，现在是在动态map下的反向路由注入宽R1(co养nfig-臣crypt检o-map员)#交exit短在静态加密项映射中调用臣动态加密映挑射并应用至削接口歪：葛R1(co机nfig)是#泳crypt章omap务MYMA顶P100板ipse质c-isa湖kmpd眨ynami剥cMYM僵AP调用MYMAP动态加密映射调用MYMAP动态加密映射询接口下应用逆：等R1(co王nfig)膊#雅intf平a0/0装R1(co作nfig-骨if)#高crypt享omap羊MYMA配P在接口下掉用在接口下掉用映R1(co写nfig-柳if)#及exit瓶R1(co拘nfig)逮#抗EZVPN居Serv臣er可以守端接IPS董ec隧道，岸这些隧道是隶由在PC上宴运行Ci渴scoV某PN客户端园软件的远程储移动工作者浙发起的。这望种灵活性使逗远程移动工楼作者，如旅轨途中的销售辛人员和远程烦办公者，访永问存有重要拒数据和应用坊的总部内部毫网络成为可继能，接下来键我们就来讨踏论如何实现色。缓软件起clien闸t油端的配置：待注意不能将季客户端软件葬与模拟器在迁同一台电脑他上运行，这仅样做的现象防是能拨号成鞭功，但只有乔加密发包没朝有解密收包饺。可以将客逃户端软件安诵装在虚拟机刮上，这样就域能正常工作寨了筋安装除cisco清vpn读clien团t5.0团0温软件后拨号长，拨号成功滴后小锁关闭营数据包的封刘装过程：廊新建一个应VPN参，组名是删test干，密码是纲cisco垦：家客户端软件框的安装这里智就省了！与到其它软件的皱安装一样！昌打开VPN戏Clie倡nt:裂接下来我们委新建一个蓝VPN拨号凤连接，点击愁New按继钮：为拨号连接取一个名字（随便取）描述这个播号连接的作用为拨号连接取一个名字（随便取）描述这个播号连接的作用填写组名填写密码R1(config)#cryptoisakmpclientconfigurationgrouptestR1(config-isakmp-group)#keyciscoR1(config-isakmp-group)#poolRemote-Pool溪连接远端服间务器并输入都用户名和密绘码：R1(config)#usernameR1(config)#usernameciscopasswordciscoR1(config)#aaanew-model提当我们拨号陪成功以后，声会在蜜“律通知区域舌”椒显示成一把段小锁。逃表示我们已策经成功的与枣Serve芬r端建立连搁接了。如果裕是没有拨号券成功则显示壳：登。国拨号成功后仁的状态统计抗：墓这时我们可螺以在Cli辈ent上检撒查一下IP扯地址配置情径况：这里的IP地址就是Server端分配给我们的私网IP地址福测试一下到短Serve踪r端内网的这里的IP地址就是Server端分配给我们的私网IP地址心再断开VP框N拨号，再版测试一下到偿Serve竟r端内网的赢连通性：坚当我们断开恶VPN以后挨，则出现无悲法找到目的范主机。径这就说明通差过测试我们损能够成功的啄访问Ser召ver端的嫂内网主机。西现在既然我玻们与Ser分ver端能胜建立起连接哨，那我们C丈lient肤端想去访问象公网。如这慕里的活g或oogle王(救桨.5)出，行吗？膨当我们断开刺VPN连接会以后测试一固下：饥可以看见，测能够到达我孕们的栏畜.5外网。厚现在将VP折N连接起再还测试一下：撕可以看见现诊在到达不了院点.5了，这第是为什么呢工？我们都知章道VPN中归的数据是经卖过加了密了燕，现在我们赴使用的是软掉件的Cli画ent，那晴么加密点就蕉在我的PC晴的网卡上面饼，那到我们芳的数据在传客送到对端以披后，对端需粒要经过解密宝以后，才能碍读取里面的辨内容，在我朽们这个案例霉中，解密点寒就是在Se敢rver端摊的fa0/准0这个端口克，那如果我依这个数据在菌Clien仁t经过加密配以后，传到化g俯oogle服沸那个地方，库他能对这个粉数据进行加强密吗？答案蓬是肯定的，偶不能。所以新它ping书不能我们的丧春饰.5，那我京们想，如果升通过VPN洗拨号到了S辫erver等端以后，我平还想上公网梯，那这时候爪怎么办呢？国不可能断开轻再上公网，窑如果要进行串能四前Serve防r端进行通狠信时又去拨裙号，这样是塘不是非常麻鼓烦，那么我朗们如何解决歉这个问题呢得？要解决这落个问题就必鞋须使用到我搏们Easy悲VPN中观的Tunn烧el分离技稠术了。那么民什么是Ea拥syVP胁N遂道分离蚁技术呢？拴Split线Tunn轰eling贺(隧道分离期)技术主要摩是用来区分绍流量的，那慕区分什么流程量呢？在本哥实验验中主税要是用来区无分去往I前ntern徐et的流断量和要通过削VPN加栽密传输的流限量。在实验宽中我们先不丽采用隧道分惰离技术，我马们能看到葡Clien良t端在成功伯建立VP旗N乞连接后，雪能访问S喇erver清端的内部网殃络，白不能访问寄Inter侮net了穷，要解决这烧个问题，为爆了达到C怜lient课端能同时访做问Ser嫌ver端罩的内部网络夹和Int寿ernet晨网络的效驰果我们应该子如何解决呢睁？那就往下霸看吧！尺在上面我们剥刚才说到当币我们通过V丝PN拨号到驾Serve泳r端以后就趟不能访问号梳.5这个W尿EB服务器吗，怒这是为什么叨呢？那我们质先来看看为膛什么不能访律问外网。罩首先我们在这Clie猎nt端内部醒的PC谅上使用t缠racer叛t命令跟隔踪一下数据坚包茄我们可以看恐见去往外网转的下一跳为撞61.6眼1.61.延1，这个地仅址刚好是返Serve锯r端的公豪网IP旧地址，而并指没有走正常膊的NAT政，造这个问拆题的原因正广是应为没有卧启用隧道分忘离，Cli犹ent禽端PC把所崖有的数据包洽都放到隧道静当中传输了替。为了解决睡这个问题我萍们在Se伏rver卷端路期由器上启用阀隧道分离。旱没有启用蝇tunne浩l止分割时的路余由：默认全舰部走加密通弄道，所以无册法访问公网豆浊.5突在申PC砌上观察：构R1#sh敏ipl漂ocal利pool奖Pool域胀步躁尚Begi顽n董插End申洒符Fr忙eeI狮nuse敏Remo熄te-Po胳ol剖纷独172.纠16.1.欧1惰172饮.16.1落.100均爱98记2锄R1#轻从这里我们买可以看见这温上我们给远溪端Clie联nt分配I废P的地址池唯。渴R1#sh话ipl茫ocal典pool哈Remot犹e-Poo厌l陕Pool救料镇降丙Beg煮in普嫁En弊d蓝般F闪ree尺Inus乐e欲Remo坑te-Po骑ol予滑荒172.腥16.1.法1绣172饱.16.1镰.100罩窄98胃2册Inuse芳addr区esses隆:举17捷2.16.坛1.2降糖IKE涝Addr绢IDB份洪系咸17思2.16.舒1.3喇啄IKE讯Addr本IDB膨买起五R1#侵从上面这里及我们可以看来见我们现在假给远端Cl罪ient分酒配过去正在逆使用的IP断地址。途在PC上测夸试：帽可以看见访然问Serv扫er端是没蹲有问题了。闻我们可以看言见现在访问油订.5这个站周点不成功。存在我们没有州通过VPN见拨号时是能喉够正常的。贫这骨就孝是因为没有桃做大tunne少l计分倡离遣，浆为了解决这在个问题我们知在Ser份ver端岁路由器上加业入如下命令演启用隧道分慌离。后R1(co委nfig)楚#阶acces仅s-lis门t100汉perm接iti伐p喊1.1悲.1浙.0杀菜.255传any这也是推送给client的策略之一这也是推送给client的策略之一，告诉任何client到.0/24的流量必须走加密通道，其它的正常封装转发涉R1(co鞭nfig)蒜#串crypt抽oisa碎kmp耀clien闭tcon顽figur溪ation凡grou蜓ptes皂t动R1(co可nfig-提isakm昼p-gro漂up)#鲜acl1饼00tunnel分割的列表，tunnel分割的列表，定义哪些流量需要加密余R1(co羊nfig-蒙isakm支p-gro攀up)#窜exit类R1(co壶nfig)送#足PC诊上中断亮VPN浊后再重新拨利号测试：丈从上面红框烘处我们可以遵看见以前在荡没有启用T践unnel堤分离技术时喜这里显示的剑是母覆.00.土夸也就是所有骗的数据都需付要经过加密畜。而当我们蜜启了用Tu筝nnel分万离技术以后面呢？则显示孔的是1.1吃.1.0挑255.2趁55.25唇5.0表示咏只有去往1静.1.1.粗0这个网段秀的数据才需枕要密码。夏这时我们在却Clien颈tPC上跪再来测试一喝下：钉到达Ser泥ver端的番内网能够正晓常通信。喜从这里我们灌可以看出，起当我们启用躁了Tunn是el分离时驻，就能够也雷我们的外网穿进行通信了上。饼我们现在在底PC上tr河acert初一下，看看裙它是怎么走况的？式从上图我们徒可以看出它静，它很明显尼是走我们的融NAT出去钢的。而没有温再走到Se权rver端妖去了。悬在R1上并查看反向路顷由注入效果挎：对R1#sh万ipr前oute属意莲.0/24程iss壤ubnet挺ted,缩1sub辅nets占C争肌胞.0is锄dire旗ctly单conne缎cted,然Loop件back0岂揉肚.0/32幸iss吧ubnet雅ted,线1sub科nets薪O共竭左.5[1累10/2]宋via断61.61助.61.5晴,00:画52:50询,Fas涌tEthe尿rnet0敏/0婶欣172.1箩舱/32i曲ssub尸nette稻d,1芹subne歇ts32位主机路由，下一跳为PC32位主机路由，下一跳为PC的公网地址倚S革17幸2.16.挽1.7[切1/0]革via2卷果.2贱剪24.0.汤0.0/2顿4is槐subne宽tted,护1su危bnets扫O纹24牢.0.0.统0[11盈0/65]差via樱61.61呈.61.4冬,00:蛛52:50弯,Fas寻tEthe优rnet0忆/0续腾61.0.女0.0/2际4is室subne丧tted,却1su屿bnets剃C抢61仁.61.6疗1.0i必sdir皆ectly铜conn滔ected仪,Fas裕tEthe学rnet0谁/0仪R1#狭R1#sh俭cryp件toen利gine稻conne榆ction减sact残ive蛇ID陪Inter落face适评较IP-A斜ddres简s火Sta差teA经lgori右thm仓妖E休ncryp琴tDe叉crypt呜5备FastE蓝thern分et0/0真贵61.6科1.61.授1止set森H石MAC_M阁D5+3D亩ES_56宝_C咳洁0如0吧2003守FastE霉thern器et0/0喊歉61.6竿1.61.竹1报set校3止DES+M疲D5摄逼教酒0烦13斤2004观FastE碑thern慨et0/0眨凶61.6察1.61.周1尸set养3央DES+M步D5添用已1脏3户0掏以上我们使扩用软件Cl要ient来过进来VPN致拨号的，现捧在我们来使腊用硬件（路枣由器）来C把lient辜。林硬件越clien威t裳端的配置园：蚂不需要配置享NAT患也能保证内锁网用户上外勒网是其特点掀之一遗，阴也不需要第搂一阶段的若日干策略乖R3(co勾nfig)尊#荐crypt触oips斩eccl蝇ient臂ezvpn芝Clie谦nt鞭R3(co茂nfig-沟crypt宫o-ezv唯pn)#医peer隙61.61恭.61.1Server端的公网IP地址Server端的公网IP地址听R3(co慌nfig-你crypt鸭o-ezv泼pn)#嫌group乔test依key苍cisco与server的配置相一致与server的配置相一致痕R3(co脏nfig-抹crypt密o-ezv恼pn)#m瓜ode?累cli抬ent如然臣Clie窑nt葡net验work-逃exten鄙sion萌Netw彻orkE顽xtens率ion宴net鱼work-敏plus滴躲Requ蛮esta病IPa嫂ddres师side婶ntifi刻erin捧NEM召R3(co蕉nfig-乌crypt层o-ezv宏pn)#昌mode部clien狱t看R3(co闲nfig-士crypt禾o-ezv敏pn)#荷conne炭ct?览acl敌辜Confi梢gure起match巴ingA格CLto丛trig恨gerE赤zVPN腾conne稍ction讽aut碍o叠Autom翻atic阳man冤ual剩Manua必l启R3(co泰nfig-怠crypt舒o-ezv兔pn)#赠conne扶ctma乐nual实际工作中设为自动，此处设为手动是方便实验控制实际工作中设为自动，此处设为手动是方便实验控制吃R3(co珠nfig-毕crypt恳o-ezv推pn)#务exit识R3(co庆nfig)得#嚷intf子a0/0倡R3(co寿nfig-踪if)#框crypt著oips狱eccl宰ient左ezvpn茫Clie东nt茎R3(co疗nfig-铅if)#朋exit蛮R3(co歌nfig)鸭#京intl叫o0腹R3(co强nfig-殿if)#削crypt记oips夕eccl省ient堪ezvpn丰Clie浓ntin偿side饶R3(co裹nfig-是if)#雷exit平*Mar甜100通:11:5昂2.899晕:%CR歼YPTO-堂6-ISA厚KMP_O诵N_OFF云:ISA渔KMPi逐sON规当配置完这出些以后我们绢的Eas扮yVPN卷链路并没涝有建立成功哨，我们还需掘要手工输入订下面一条命绩令来进行与栏Serve数r端的连接甲。连接成功房以后会在谎Clien蚂t上会提锋示如下信息狗：故R3#勾crypt和oips刺eccl剪ient越ezvpn继conn榜ect寇手工拨号命令手工拨号命令煌*Mar居100心:12:1津5.939谋:EZV尝PN(Cl热ient)厦:哑Pendi仪ngXA降uthR诸eques偿t,Pl漫ease隆enter仙the案follo熔wing虽comma扫nd:贩*Mar念100夹:12:1巧5.939航:EZV底PN:景crypt赚oips化eccl拜ient绝ezvpn炭xaut劝h这个提示的意思是要你在特权模式下输入cryptoipsecclientezvpnxauth命令来完成XAUTH认证，接下来我们就来敲入命令，并输入用户名和密码来完成认证。这个提示的意思是要你在特权模式下输入cryptoipsecclientezvpnxauth命令来完成XAUTH认证，接下来我们就来敲入命令，并输入用户名和密码来完成认证。犁R3#屡crypt监oips饱eccl鲁ient糕ezvpn煮xaut颂h吧Usern姻ame:授cisco谢Passw丰ord:膛R3#槐*Mar秩100宅:12:2查5.875镇:%CR奸YPTO-临6-EZV纸PN_CO馒NNECT征ION_U并P:(C耽lient要)Us早er=馒Group牲=test销Cli延ent_p讯ublic跃_addr没=紧61.61斥.61.3Client的公网地址室Ser稼ver_p全ublic健_addr挖=酷61.61资.61.1Server的公网地址饰Ass竹igned增_clie判nt_ad纤dr=么172.1麦当我们拨号成功以后，这是Server端分配给Client的私有IP地址画Client的公网地址Server的公网地址当我们拨号成功以后，这是Server端分配给Client的私有IP地址携R3#染*Mar销100廊:12:2奉7.539德:%LI踪NK-3-础UPDOW旬N:In愁terfa练ce援Loopb迫ack1当我们拨号成功以后会自动在本地给我们创建一个回环口，用来存放分配给我们的私网IP地址幻,cha协nged更state运tou毒p当我们拨号成功以后会自动在本地给我们创建一个回环口，用来存放分配给我们的私网IP地址稳*Mar滥100肠:12:2绍8.539章:%LI品NEPRO虎TO-5-盾UPDOW戒N:Li居nepr磨otoco钳lon崖Inter之face颠Loopb秆ack1,猾chan队geds号tate第toup娘R3#愿我们现在来犯查看一下我劣们拨号成功持没有？硬R3#凡show梢crypt匹oips版eccl姥ient始ezvpn查看是否拨入成功查看是否拨入成功先Easy牵VPNR乔emote斩Phas器e:4赔Tunne洪lnam哑e:C蜘lientTunnel的名称Tunnel的名称刻Insid柄eint建erfac抗elis还t:Lo功opbac车k0烂Outsi坑dein民terfa番ce:F金astEt抖herne到t0/0最Curre探nt炮沟State蒸:锡IPSEC湾_ACTI仍VEIpsec状态为ACTIVE表示正常Ipsec状态为ACTIVE表示正常何Last商Event芹:SOC稼KET_U能P晋Addre忆ss:1蝴72.16禽.1.9Server分配给Client的私网IP地址。Server分配给Client的私网IP地址。买Mask:炎255.瘦255.2蔬55.25置5丢DNSP醒rimar钉y:61眼.139.宾2.69桑Defau字ltDo玩main:智cisc专o条Save狸Passw奴ord:奥Disal窑lowed台Split士Tunn汗elLi书st:1收教Add警ress况:饰两.0沈华Mas骡k喝:舟255.2备55.25壶5.0钳壮Pro负tocol窜:耳0x0眉煮岸Sourc蹈e案佩Port现:0庭森幸Dest患城Port擦:0这里我们可以看见，在Server端启用了Tunnel分离技术了的。受Curre稀ntEz会VPNP堡eer:撤61.61菠.61.1Server端的公网IP地址这里我们可以看见，在Server端启用了Tunnel分离技术了的。Server端的公网IP地址崇R3#警查看会话状惭态：邮R3#饶show剖crypt逢oses壶sion欺detai赶l犯Crypt柏oses删sion菠curre耐ntst饺atus肤Code:巧C-雷IKEC隆onfig辅urati挡onmo胆de,D巨-De吩adPe胡erDe爱tecti鉴on枯缓K-K奋eepal巨ives,跑N-宣NAT-t见raver耍sal,辈X-I尤KEEx镇tende盼dAut抄henti吹catio冶n雹Inter玻face:渗Fast疫Ether午net0/美0辜Sessi酷onst罗atus:拖腊UP-AC书TIVE会话状态表示活动的。教会话状态表示活动的。翻Peer:层61.6躁1.61.杠1por私t500蚕fvrf患:(no女ne)i督vrf:含(none路)苦诞Phas皱e1_id课:61.里61.61康.1问辟Desc刷:(no羡ne)仆IKE记SA:粮local姐61.6抛1.61.辆3/500阳remo细te61勺.61.6充1.1/5法00Ac缴tive率逆倚Capab禾iliti耍es:CX丘conn阁id:1会lifet孙ime:2暮3:44:员07新IPS紧ECFL么OW:p寨ermit适iph种ost1畜72.16凤.1.9羽设.0/0.亡前沫振Ac夕tive贺SAs:刮2,or床igin:山cryp著toma概p流谁In标bound素:#p焦ktsd镇ec'ed粒0dr锈op0别life珍(KB/S窑ec)4颤45219营4/269稠7奖思Ou茄tboun王d:#p涉ktse历nc'ed爷0dr炊op0精life热(KB/S烟ec)4爆45219否4/269躁7筛查看NAT扫信息：阴R3#拖show畜ipna茎ttra靠nslat贼ions洞乐稀叠ProI侦nside仁glob及al少In异side封local比导Out激side寄local控备Outs债ideg革lobal贷icmp稼172.1灿榆:4疑宏搅.3:4半毫码扇.1:4梨士浆帮.1:4垫icmp死172.1桐候:5渴守酒.3:5串关瓦误.1:5仁桑及林.1:5须R3#程当我们拨号借成功以后马在漆serve袄r均端查看路由碍：众R1#途ship盘rout搜e倡急做.0/24搞iss浸ubnet馒ted,英1sub垃nets三C枝天楚.0is嫩dire丙ctly截conne丝cted,腊Loop夜back0盒焰美.0/32齿iss肺ubnet吼ted,歇1sub童nets粪O米丰叮.5[1土10/2]杂via悲61.61害.61.5毕,00:优32:01厨,Fas择tEthe摩rnet0屿/0系剖172.1诵蜘/32i本ssub羡nette鼓d,2班subne亲ts激S寨17酿2.16.宿1.9[数1/0]揪via6爷1.61.居61.3朗S缺17宋2.16.说1.7[栽1/0]压via2然泄.2多了条按反向路由注入规则二生成的静态路由傅环24.0.嫩0.0/2蓬4is插subne辛tted,别1su凝bnets多了条按反向路由注入规则二生成的静态路由围O胁24值.0.0.障0[11黄0/65]胜via色61.61碧.61.4胡,00:闻32:01浊,Fas探tEthe尚rnet0籍/0佣文61.0.异0.0/2难4is开subne杏tted,暖1su叠bnets影C塘61哗.61.6诚1.0i鄙sdir希ectly展conn他ected向,Fas旷tEthe岛rnet0嘴/0满R1#以R1#sh踪owcr榨ypto醉engin柿econ油necti杜onsa放ctive明ID泛Inter治face舍商绿IP-A丝ddres返s惰Sta浓teA沿lgori奋thm痒迎E镰ncryp肺tDe墓crypt妈5句FastE应thern盒et0/0统馋61.6站1.61.胞1斩set经H骑MAC_M承D5+3D角ES_56准_C璃否0岸0立6扛FastE御thern刃et0/0伤论61.6望1.61.坝1荷set杯H幕MAC_M拌D5+3D咐ES_56腾_C帐遥0孕0洋2001祥FastE割thern穿et0/0迎圈61.6趋1.61.惰1肤set窝3杜DES+M箱D5核孟乏1球5夏0威2002野FastE释thern看et0/0池吴61.6元1.61.违1菠set迟3风DES+M摘D5士轻日差0役15这里我们可以看出一条链路上有两个IPSEC。航2003送FastE滤thern陷et0/0妖徐61.6白1.61.缸1默set风3井DES+M膜D5烂惹勿蚊0有13这里我们可以看出一条链路上有两个IPSEC。筒2004小FastE趟thern顷et0/0阶党61.6进1.61.寄1痰set扫3嚼DES+M趁D5配席另1诉3密0纺现在来测试握一下：（笨必须以蛙垫.3妄为源进行才斗有意义希）亡R3#毙ping竟绩.1so倾urce励泻.3股Type绢escap靠eseq刷uence太toa房bort.脊Sendi消ng5,勾100-游byte扁ICMP装Echos候to送商.1,t骆imeou袋tis扫2sec浑onds:窄Packe身tsen秒twit倾has曲ource贞addr葬esso荒f筛冲