使用SDM配置作為遠端VPN伺服器的Cisco路由器示例
簡介
本文檔介紹如何使用Cisco安全裝置管理器(SDM)將Cisco路由器配置為充當Easy VPN伺服器。Cisco SDM允許您使用易於使用的基於Web的管理介面將路由器配置為Cisco VPN客戶端的VPN伺服器。Cisco路由器配置完成後,可以使用Cisco VPN客戶端進行驗證。
必要條件
需求
本檔案假設Cisco路由器已完全運行並配置為允許Cisco SDM進行配置更改。
注意:請參閱允許SDM進行HTTPS訪問,以便允許SDM配置路由器。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
採用Cisco IOS®軟體版本12.3(14T)的Cisco 3640路由器
-
安全裝置管理員版本2.31
-
Cisco VPN使用者端版本4.8
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
設定
本節提供配置Easy VPN伺服器功能的資訊,該功能允許遠端終端使用者使用IPsec與任何Cisco IOS® VPN網關通訊。
註:使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。
網路圖表
本檔案會使用以下網路設定:
設定程式
完成以下步驟,使用SDM將Cisco路由器配置為遠端VPN伺服器。
-
從主視窗中選擇Configure > VPN > Easy VPN Server,然後按一下Launch Easy VPN Server Wizard。
-
啟動Easy VPN伺服器配置之前,必須在路由器上啟用AAA。按一下「Yes」以繼續設定。
視窗中顯示「AAA has been successfully enabled on the router」消息。按一下OK以啟動Easy VPN伺服器配置。
-
按一下下一步啟動Easy VPN伺服器嚮導。
-
選擇客戶端連線終止的介面和身份驗證型別。
-
按一下下一步以配置Internet金鑰交換(IKE)策略,並使用Add按鈕建立新策略。
通道兩端的設定必須完全相符。但是,Cisco VPN客戶端會自動為自己選擇正確的配置。因此,客戶端PC上無需進行IKE配置。
-
按一下下一步選擇預設轉換集或新增新的轉換集以指定加密和身份驗證演算法。在這種情況下,將使用預設轉換集。
-
按一下下一步,為組策略查詢建立新的身份驗證、授權和記帳(AAA)授權網路方法清單,或選擇用於組授權的現有網路方法清單。
-
在Easy VPN伺服器上配置使用者身份驗證。
您可以將使用者驗證詳細資訊儲存到外部伺服器(例如RADIUS伺服器或本機資料庫,或兩者均有)上。AAA登入身份驗證方法清單用於確定搜尋使用者身份驗證詳細資訊的順序。
-
此視窗允許您在本地資料庫上新增、編輯、克隆或刪除使用者組策略。
-
輸入隧道組名稱的名稱。提供用於身份驗證資訊的預共用金鑰。
建立新池或選擇用於將IP地址分配給VPN客戶端的現有池。
-
此視窗顯示您已採取的操作的摘要。如果對配置滿意,請按一下Finish。
-
SDM將組態傳送到路由器以更新執行組態。按一下「OK」以完成。
-
完成後,您可以根據需要編輯和修改配置中的更改。
路由器配置(VPN伺服器) Building configuration... Current configuration : 3336 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password cisco ! aaa new-model ! !--- In order to set AAA authentication at login, use the aaa authentication login !--- command in global configuration mode . aaa authentication login default local !--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! ! ! !--- The RSA certificate generates after the !--- ip http secure-server command is enabled. crypto pki trustpoint TP-self-signed-392370502 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-392370502 revocation-check none rsakeypair TP-self-signed-392370502 ! ! crypto pki certificate chain TP-self-signed-392370502 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2 quit ! ! ! ! ! ! ! ! ! ! !--- Creates a user account with all privileges. username sdmsdm privilege 15 password 0 sdmsdm ! ! !--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2. crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpn !--- Defines the pre-shared key as sdmsdm. key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! !--- Defines transform set parameters. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! !--- Specifies the crypto map parameters. crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface FastEthernet1/0 ip address 10.77.241.157 255.255.255.192 duplex auto speed auto ! interface Serial2/0 ip address 10.1.1.1 255.255.255.0 no fair-queue !--- Applies the crypto map SDM_CMAP1 to the interface. crypto map SDM_CMAP_1 ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown !--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients. ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 !--- Commands for enabling http and https required to launch SDM. ip http server ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco ! ! end
驗證
嘗試使用Cisco VPN Client連線到Cisco路由器,以驗證Cisco路由器是否配置成功。
-
選擇Connection Entries > New。
-
填寫新連線的詳細資訊。
Host(主機)欄位應包含Easy VPN伺服器(Cisco路由器)的隧道終點的IP地址或主機名。 Group Authentication資訊應對應於步驟9中使用的資訊。完成後按一下Save。
-
選擇新建立的連線,然後按一下Connect。
-
輸入用於延伸驗證(Xauth)的使用者名稱和密碼。 此資訊取決於步驟7中的Xauth引數。
-
成功建立連線後,從Status選單中選擇Statistics以驗證隧道的詳細資訊。
此視窗顯示流量和加密資訊:
此視窗顯示分割隧道資訊(如果已配置):
-
選擇Log > Log Settings以啟用Cisco VPN客戶端中的日誌級別。
-
選擇Log > Log Windows以檢視Cisco VPN客戶端中的日誌條目。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
07-Sep-2006 |
初始版本 |
意見