VPN實驗小結－vpn access server的配置

（一）vpn Access server的配置
　　
　　實驗網絡拓撲：
　　
　　pc（vpn clIEnt 4.01）－－－switch－－－router1720 （vpn Access server）
　　
　　pc配置:
　　ip：10.130.23.242/28
　　gw：10.130.23.246
　　1720接口ip：
　　f0：10.130.23.246/28
　　lo0：172.16.1.1/24
　　1720的iOS為c1700-k93sy7-mz.122-8.T5.bin
　　
　　步驟：
　　1、配置isakmp policy：
　　crypto isakmp policy 1
　　encr 3des
　　authen pre-share
　　group 2
　　2、配置vpn clIEnt地址池
　　cry isa clIEnt conf address-pool local pool192
　　ip local pool pool192 192.168.1.1 192.168.1.254
　　3、配置vpn clIEnt有關參數
　　cry isa client conf group vclIEnt-group
　　####vclient-group就是在vpn clIEnt的連接配置中需要輸入的group authentication name。
　　key vclIEnt-key
　　####vclient-key就是在vpn clIEnt的連接配置中需要輸入的group authentication passWord。
　　pool pool192 ####clIEnt的ip地址從這裡選取
　　####以上兩個參數必須配置，其他參數還包括domain、dns、wins等，根據情況進行配置。
　　4、配置ipsec transform-set
　　cry ipsec trans vclIEnt-tfs esp-3des esp-sha-hMac
　　5、配置map模板
　　cry dynamic-map template-map 1
　　set transform-set vclIEnt-tfs ####和第四步對應
　　6、配置vpnmap
　　cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
　　cry map vpnmap isakmp author list vclIEnt-group ####使用第三步配置的參數authorization
　　cry map vpnmap client conf address respond ####響應clIEnt分配地址的請求
　　7、配置靜態路由
　　ip route 192.168.1.0 255.255.255.0 fastethernet0
　　
　　說明幾點：
　　（1）因為1720只有一個fastethernet口，所以用router1720上的lo0地址來模擬router內部網絡。
　　（2）vpn clIEnt使用的ip pool地址不能與router內部網絡ip地址重疊。
　　（3）10.130.23.0網段模擬公網地址，172.16.1.0網段用於1720內部地址，192.168.1.0網段用於vpn通道。
　　（4）沒有找到設置vpn clIEnt獲取的子網掩碼的辦法。看來是iOS還不支持這個功能。
　　（5）關於split tunnel。配置方法：首先，設置Access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網絡數據通過tunnel，然後在第三步驟中添加一個參數：acl 133。
　　
　　1720的完整配置：
　　
　　VPN1720#sh run
　　Building configuration...
　　
　　Current configuration : 1321 bytes
　　!
　　version 12.2
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service passWord-encryption
　　!
　　hostname VPN1720
　　!
　　enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.
　　!
　　mmi polling-interval 60
　　no mmi auto-configure
　　no mmi pvc
　　mmi snmp-timeout 180
　　ip subnet-zero
　　!
　　!
　　no ip domain-lookup
　　!
　　ip audit notify log
　　ip audit po max-events 100
　　!
　　crypto isakmp policy 1
　　encr 3des
　　authentication pre-share
　　group 2
　　crypto isakmp clIEnt configuration address-pool local pool192
　　!
　　crypto isakmp client configuration group vclIEnt-group
　　key vclIEnt-key
　　domain test.com
　　pool pool192
　　!
　　!
　　crypto ipsec transform-set vclIEnt-tfs esp-3des esp-sha-hMac
　　!
　　crypto dynamic-map template-map 1
　　set transform-set vclIEnt-tfs
　　!
　　!
　　crypto map vpnmap isakmp authorization list vclIEnt-group
　　crypto map vpnmap clIEnt configuration address respond
　　crypto map vpnmap 1 ipsec-isakmp dynamic template-map
　　!
　　!
　　!
　　!
　　interface Loopback0
　　ip address 172.16.1.1 255.255.255.240
　　!
　　interface FastEthernet0
　　ip address 10.130.23.246 255.255.255.240
　　speed auto
　　crypto map vpnmap
　　!
　　interface Serial0
　　no ip address
　　shutdown
　　!
　　ip local pool pool192 192.168.1.1 192.168.1.254
　　ip classless
　　ip route 192.168.1.0 255.255.255.0 FastEthernet0
　　no ip http server
　　ip pim bidir-enable
　　!
　　!
　　!
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　!
　　no scheduler allocate
　　end
　　
　　VPN ClIEnt 4.01的配置：
　　新建一個connection entry，參數中name任意起一個，host填入vpn Access server的f0地址
　　
　　10.130.23.246，
　　group auahentication中name填vclIEnt-group，passWord填vclIEnt-key.
　　
　　測試：
　　（1）在pc上運行VPN clIEnt，連接vpn Access server。
　　（2）ipconfig/all，查看獲取到的ip地址與其他參數。
　　（3）在router，show cry isa sa,看連接是否成功。
　　（4）從router，ping clIEnt已經獲取到的ip地址，通過。
　　（5）從clIEnt，ping router的lo0配置的地址172.16.1.1，通過。
　　（6）查看vpn clIEnt軟件的status--statistics,可以看到加密與解密的數據量。
　　（7）1720上show cry ip sa, 也可以查看加密與解密的數據量。
　　
　　常用調試命令：
　　show cry isakmp sa
　　show cry ipsec sa
　　clear cry sa
　　clear cry isakmp
　　debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯誤都可以用它來找到
　　debug cry ipsec