為了向遠(yuǎn)距離工作者或工作在外的員工所提供的遠(yuǎn)程訪問類型的VPN，是不是也要配置那么多的命令和參數(shù)呢？很多用戶會提出有沒有簡單點(diǎn)的VPN配置來完成這樣的要求。本節(jié)介紹一種簡單的VPN配置，即Easy VPN?！　?/P>

移動VPN技術(shù)：Easy VPN　　

從Easy VPN的名字上就知道這應(yīng)該是個(gè)簡單的VPN應(yīng)用技術(shù)。Easy VPN分為Easy VPN Server和Easy VPN Remote兩種。Easy VPN Server是Remote－Access VPN專業(yè)設(shè)備，配置復(fù)雜，支持Policy Pushing等特性。現(xiàn)在的900、1700、Pix、Vpn 3002和ASA等很多設(shè)備都支持?！　?/P>

而Easy VPN Remote就是專門為了小的分支機(jī)構(gòu)所設(shè)計(jì)的，一般情況下，小分支接口的網(wǎng)絡(luò)管理員的水平?jīng)]有那么高，不可能去配置一堆復(fù)雜命令來實(shí)現(xiàn)Site－to－Site VPN，這時(shí)候，只需要通過Easy VPN Remote這個(gè)特性配置幾條簡單的命令，就可以Site－to－Site VPN。所有的配置都在Server端來完成，Client的VPN配置都由Server端采用“推”的方式應(yīng)用到分支機(jī)構(gòu)的設(shè)備上。這種技術(shù)極大地避免了分支機(jī)構(gòu)配置VPN失敗的問題。但這種VPN不支持路由，不支持組播，只能在IP協(xié)議下工作，不支持狀態(tài)故障切換等技術(shù)。所以，需要網(wǎng)絡(luò)管理員在自己的實(shí)際工作中留意這些功能是否需要，再決定是否實(shí)施Easy VPN技術(shù)。 #p#

基于命令行的Easy VPN配置實(shí)例

下面介紹一個(gè)基于IOS命令行的Easy VPN Server/Remote配置實(shí)例，如圖所示。　

圖Easy VPN接入　　

RouterServer的配置如下。

crypto isakmp policy 1 　　　　　　

encryption 3des 　　　　　　

authentication pre-share 　　　　　　

group 2 　　　　

crypto isakmp client configuration address-pool local pool192 　　　　

ip local pool pool192 192.168.1.1 192.168.1.254　　　　

crypto isakmp client configuration group vclient-group 　　　　　　

key vclient-key 　　　　　　

domain test.com 　　　　　　

pool pool192 　　　　　　

crypto IPsec transform-set vclient-tfs esp-3des esp-sha-hmac 　　　　

crypto dynamic-map template-map 1 　　　　　　

set transform-set vclient-tfs 　　　　

crypto map vpnmap isakmp authorization list vclient-group 　　　　　　

crypto map vpnmap client configuration address respond 　　　　　　

crypto map vpnmap 1 IPsec-isakmp dynamic template-map 　　　　　　

interface Loopback0 　　　　　　

ip address 172.16.1.1 255.255.255.240 　　　　　　

interface FastEthernet0 　　　　　　

ip address 10.130.23.246 255.255.255.240 　　　　　　

crypto map vpnmap 　　　　　　

ip route 192.168.1.0 255.255.255.0 FastEthernet0 　　　　　　

show cry isakmp sa 　　　　　　

show cry IPsec sa 　　　　　　

clear cry sa 　　　　　　

clear cry isakmp 　　　　　　

debug cry isakmp 　　　　

debug cry IPsec　　

 #p#

基于SDM的Easy VPN配置實(shí)例　　

Easy VPN的配置大部分工作都在VPN Server上完成，減輕了配置工作。在Cisco的設(shè)備中，比如，1800系列、2800系列和3800路由器系列，可以不使用命令的方式來完成配置。在這些新系列的設(shè)備上可以用SDM（思科路由器和安全設(shè)備管理器）軟件來配置?！　?/P>

1． Cisco SDM　>Cisco SDM 是一種直觀且基于 Web 的設(shè)備管理工具，用來管理以 Cisco IOS? 軟件為基礎(chǔ)的路由器。Cisco SDM 可通過智能向?qū)Ш喕酚善骷鞍踩渲眠^程，對于客戶及 Cisco 合作伙伴而言，有了這些向?qū)В槐貙γ钚薪涌冢–LI）有專門的了解，就能快速便捷地部署、配置和監(jiān)控 Cisco Systems路由器。　　

SDM在設(shè)備上默認(rèn)HTTPS管理IP是10.0.10.1。所以如果使用默認(rèn)配置登錄的話，一定要保證PC的地址在10.0.10.0網(wǎng)段。SDM的默認(rèn)用戶名是cisco，密碼也是cisco ?！　?/P>

SDM程序既可以安裝在PC上，也可以安裝在路由器上。安裝在PC上能節(jié)約路由器的內(nèi)存并且可以用它來管理其他支持SDM管理的路由器，但是這種模式下不能執(zhí)行恢復(fù)默認(rèn)的操作。安裝到路由器時(shí)，基本安裝需要大約4~5MB的Flash空間，Cisco SDM Express組件需要1.5MB的Flash空間，只用于路由器的初始化配置無須安裝。　　

提示：　　

IE默認(rèn)禁止網(wǎng)頁訪問本機(jī)資源，需要修改IE的安全設(shè)置。選擇IE“工具”菜單，選擇“Internet選項(xiàng)”，切換到“高級”選項(xiàng)卡，在“設(shè)置”里找到“允許活動內(nèi)容在我的計(jì)算機(jī)上運(yùn)行”，啟用該功能；另外在“隱私”選項(xiàng)卡中取消“打開窗口阻止程序”選項(xiàng)?！　?/P>

SDM下載地址為 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm（需要CCO賬號），下載并解壓SDM－V21.zip，運(yùn)行Setup程序即可進(jìn)行SDM的安裝。在安裝SDM之前要求安裝JRE 1.5，如果尚未安裝，可以到Sun公司網(wǎng)站下載。 　　

將SDM安裝到路由器之后，路由器必須進(jìn)行以下配置才能支持SDM管理工具?！　?/P>

ip http server       //允許HTTP登錄　　　　

ip https server       //允許HTTPS登錄　　　　

ip http authentication local     //指定本地認(rèn)證　　　　

ip http timeout-policy idle idle-number life life-number request request-number   //修改Web接口超時(shí)參數(shù)　　　　

user username privilege 15 secret 0 secret   //必須是Secret，不可以用Password關(guān)鍵字　　

如果需要Telnet或者Ssh遠(yuǎn)程登錄設(shè)備，則增加以下配置命令。　　　　

line vty 0 4   //路由器型號不同VTY的數(shù)量也不同　　　　

login local　　　　

transport input telnet ssh  //允許Telnet和Ssh　　

如果以上步驟配置正確完整，則在IE中輸入http://“路由器IP地址”，就可以開始使用SDM了。如果是第一次登錄SDM，則提示修改默認(rèn)用戶名cisco ，以及默認(rèn)密碼cisco。

提示：　　

具體啟用配置SDM軟件的方法，請查閱產(chǎn)品隨機(jī)手冊和思科網(wǎng)站上的相關(guān)信息，相關(guān)資料。使用SDM配置VPN的前提是要能保證配置端可以通過HTTPS訪問路由器的Web管理界面。值得慶幸的是SDM如今已經(jīng)支持中文版本?！　?/P>

2． SDM配置Easy VPN的步驟

3． 下面介紹使用思科安全設(shè)備管理器（SDM）將Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后，可以使用思科VPN客戶端（Cisco Systems VPN Client）進(jìn)行驗(yàn)證?！　?/P>

第1步：從左側(cè)主操作窗口選擇Configure→VPN→Easy VPN Server，然后單擊Launch Easy VPN Server Wizard，啟動Easy VPN服務(wù)器向?qū)А！　　　?/P>

第2步：在彈出的對話框單擊【Yes】按鈕，這里提示如果對路由器配置Easy VPN Server需要啟用AAA認(rèn)證。請單擊【Yes】按鈕繼續(xù)進(jìn)行配置?！　?/P>

第3步：正式進(jìn)入Easy VPN配置向?qū)А！　?/P>

第4步：首先要求選擇應(yīng)用Easy VPN的接口，客戶端連接終止及身份驗(yàn)證的方法，如圖所示。 

圖:啟動VPN接口和認(rèn)證類型　　

第5步：單擊【下一步】按鈕，將配置Internet密鑰交換（IKE）的策略，單擊【Add】按鈕，添加新的策略，如圖14-15所示。

提示：　　

配置VPN隧道的選項(xiàng)必須是雙方匹配的。這里是針對“思科VPN客戶端” 本身自動選擇適當(dāng)?shù)呐渲?。因此，有必要對客戶端電腦配置IKE。

第6步：單擊【下一步】按鈕，選擇默認(rèn)轉(zhuǎn)換設(shè)置或添加新的轉(zhuǎn)換加密和認(rèn)證算法，如圖14-16所示。單擊【Add】按鈕，添加轉(zhuǎn)換算法設(shè)置?！　?/P>

第7步：添加一個(gè)新的驗(yàn)證、授權(quán)和記賬策略，這里選擇定義驗(yàn)證的方式為本地配置。

提示：　　

授權(quán)網(wǎng)絡(luò)訪問名單和組策略，這里可以查找或選擇一個(gè)現(xiàn)有的本地和網(wǎng)絡(luò)配置清單用做企業(yè)的VPN訪問授權(quán)?！　?/P>

第8步：選擇用戶認(rèn)證數(shù)據(jù)庫?？梢栽诖鎯τ脩粽J(rèn)證細(xì)節(jié)上選擇一個(gè)外部服務(wù)器，如一個(gè)RADIUS服務(wù)器或本地?cái)?shù)據(jù)庫，或者兩者同時(shí)啟用?！　?/P>

第9步：在下圖所示的對話框中，可以對本地?cái)?shù)據(jù)庫添加、編輯、復(fù)制或刪除用戶組策略。 

 圖14-20  選擇對本地?cái)?shù)據(jù)庫的操作　　

第10步：添加一個(gè)隧道組，配置共享密鑰用于認(rèn)證信息。創(chuàng)建一個(gè)新的地址池或選擇一個(gè)現(xiàn)有的地址池，用于VPN客戶分配IP地址，如下圖所示?！　?/P>

第11步：單擊【OK】按鈕，選擇是否繼續(xù)添加策略。 

 圖：添加VPN客戶端地址池和共享密鑰 　　

第12步：如果不需要配置選項(xiàng)，單擊【下一步】按鈕。

第13步：SDM將上述配置復(fù)制到路由器，以更新運(yùn)行的配置，單擊【OK】按鈕，完成Easy VPN配置。 #p#

完成之后，如果需要修改，可以在主界面編輯和修改?！　?/P>

下面是上述配置后路由器的執(zhí)行結(jié)果。

Building configuration...　　　　

Current configuration : 3336 bytes　　　　

!　　　　

version 12.4　　　　

service timestamps debug datetime msec　　　　

service timestamps log datetime msec　　　　

no service password-encryption　　　　

!　　　　

hostname Router　　　　

!　　　　

boot-start-marker　　　　

boot-end-marker　　　　

!　　　　

enable password cisco　　　　

!　　　　

aaa new-model<　　　

!　　　　

!--- In order to set AAA authentication at login, use the aaa authentication login 　　　　

!--- command in global configuration mode　　　　

.　　　

aaa authentication login default local　　　　

!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for 　　　　

!--- the authentication of the clients.　　　　

aaa authentication login sdm_vpn_xauth_ml_1 local　　　　

aaa authorization exec default local 　　　　

aaa authorization network sdm_vpn_group_ml_1 local 　　　　

!　　　　

aaa session-id common　　　　

!　　　　

resource policy　　　　

!　　　　

!　　　　

ip cef　　　　

!　　　　

!--- The RSA certificate generates after the 　　　　

!--- ip http secure-server command is enabled.　　　　

crypto pki trustpoint TP-self-signed-392370502　　　　

 enrollment selfsigned　　　　 

subject-name cn=IOS-Self-Signed-Certificate-392370502　　　　

revocation-check none　　　　 

rsakeypair TP-self-signed-392370502　　　　

!　　　　

!　　　　

crypto pki certificate chain TP-self-signed-392370502　　　　 

certificate self-signed 01　　　　

3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 　　　　

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 　　　　

（省略）　　　　

quit　　　　

!　　　　

!--- Creates a user account with all privileges.　　　　

username sdmsdm privilege 15 password 0 sdmsdm　　　　

!　　　　

! 　　　　

!--- Creates an isakmp policy 1 with parameters like 　　　　

!--- 3des encryption, pre-share key authentication, and DH group 2.　　　　

crypto isakmp policy 1　　　　 

encr 3des　　　　 

authentication pre-share　　　　 

group 2　　　　

crypto isakmp client configuration group vpn　　　　

!--- Defines the pre-shared key as sdmsdm.　　　　

key sdmsdm　　　　 

pool SDM_POOL_1　　　　 

netmask 255.255.255.0　　　　

!　　　　

!--- Defines transform set parameters.　　　　

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 　　　　

!　　　　

crypto dynamic-map SDM_DYNMAP_1 1　　　　 

set transform-set ESP-3DES-SHA 　　　　 

reverse-route　　　　

!　　　　

!--- Specifies the crypto map parameters.　　　　

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1　　　　

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1　　　　

crypto map SDM_CMAP_1 client configuration address respond　　　　

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 　　　　

!　　　　

interface Ethernet0/0　　　　

no ip address　　　　

shutdown　　　　 

half-duplex　　　　

!　　　　

interface FastEthernet1/0　　　　 

ip address 10.77.241.157 255.255.255.192　　　　 

duplex auto　　　　 

speed auto　　　　

!　　　　

interface Serial2/0　　　　

ip address 10.1.1.1 255.255.255.0　　　　 

no fair-queue　　　　

!--- Applies the crypto map SDM_CMAP1 to the interface.　　　　

crypto map SDM_CMAP_1　　　　

!　　　　

interface Serial2/1　　　　

no ip address　　　　 

shutdown　　　　

!　　　　

interface Serial2/2　　　　

no ip address　　　　 

shutdown　　　　

!　　　　

interface Serial2/3<　　　

no ip address　　　　

shutdown　　　　

!--- Creates a local pool named SDM_POOL_1 for issuing IP 　　　　

!--- addresses to clients.　　　　

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5　　　　

!--- Commands for enabling http and https required to launch SDM. 　　　　

ip http server　　　　

ip http secure-server　　　　

!　　　　

control-plane　　　　

!　　　　

line con 0　　　　

line aux 0　　　　

line vty 0 4　　　　 

password cisco　　　　

!　　　　

end

【編輯推薦】

1. 三步搞定VPN服務(wù)器遠(yuǎn)程連接
2. 企業(yè)遠(yuǎn)程接入配置不宜貪小失大