不使用扩展验证方式配置见:www.mycisco.cn/post/170.html
PC(10.0.0.1、网关10.0.0.254)-----------------(e0/0:10.0.0.254)ROUTER3620(lo0:172.16.0.1)
IOS版本c3620-ik9o3s7-mz.123-21.bin
Building configuration...
Current configuration : 1853 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpnserver
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login xauthen local
!利用AAA配置扩展验证,由于没有AAA服务器,只调用了本地
aaa authorization network groupauthor local
!使用AAA服务器查找组策略,这里使用本地,这个本地组策略也可以不配,在后面的加密影射中,调用本地组策略名即可
aaa session-id common
ip subnet-zero
!
!
ip cef
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
username lin password 0 cisco
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
!指定组策略属性,并进入组策略配置模式,这些配置会被push给客户端
crypto isakmp client configuration group clientgroup
key cisco123
!如果客户段是靠preshared key来确定自己身份的话,那么这个KEY配置就是必须的,它可以和扩展验证里的不同
dns 61.148.1.8
wins 61.148.1.7
pool ippool
!调用本地地址池,不同的组策略可以调用不同的本地地址池,它要和全局下配置的地址池名一致.
!
!
!培植IPSEC转换集
crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac
!
!配置动态影射摸班,调用转换集,因为不知道peer的IP地址,也不知道要match那些感兴趣流,所以用动态加密影射.
crypto dynamic-map dynamicmap 1
set transform-set ipsectrans
!
!
!下面开始将组策略模式配置和扩展验证应用到具体的加密影射上.
!
crypto map actmap client authentication list xauthen
!如果这里不用扩展验证,则可省略上面语句.
!下面这个语句是启用IKE的组策略查询,它将依赖于list后面的名称来查询AAA或者本地的组策略!
crypto map actmap isakmp authorization list groupauthor
!采用扩展组策略,如果不用扩展组策略则用下面这个语句使用本地手工配置的客户组,授权语句不可以省略,否则IKE协商过不去.!crypto map actmap isakmp authorization list clientgroup
更多内容请看VPN技术、Cisco IOS技术手册、Cisco路由器配置手册专题,或进入讨论组讨论。
相关专题
- VPN技术 (1067篇文章)
- Cisco IOS技术手册 (3003篇文章)
- Cisco路由器配置手册 (4755篇文章)
- Cisco交换机专题 (4261篇文章)
- 电脑配置手册 (8395篇文章)
- 服务器配置专栏 (10969篇文章)
- 思科交换机配置 (4261篇文章)
- Cisco防火墙专题 (4619篇文章)
- Cisco认证体系专题 (3152篇文章)
- SSL VPN详细知识介绍专题 (1067篇文章)
- Cisco网络设备IOS常用的五大配置技巧 (0次浏览)
- linux设置成cisco路由器的日志服务器 (0次浏览)
- Cisco路由器WAN配置简单攻略 (0次浏览)
- Cisco和H3C交换设备 ARP病毒快速解决办法 (0次浏览)
- 思科VPN配置十大常见问题及其解决方法 (0次浏览)
