EASY IPSEC 协商过程:
1、Remote可以是cisco *** client,server端可以是路由器,其IOS要求高于或等于12.2(8)T
2、Easy ×××由client触发,cisco *** client中内置了多个IKE policy,client触发Easy×××后,会把内置的IKE policy全部发送到server端
3、server 把client 发送来的IKE policy 与自己的policy相比较,找到匹配值后成功建立IKESA
4、配置了的扩展认证Xauth发生作用,server 端将要求client端 发送用户名/口令进行身份认证
5、身份认证通过后,client将向server请求其余的配置参数,Server向client推送的参数至少要包含分配给client的IP地址
6、Server进行反向路由注入(Reverse RouteInjeciton,RRI),为刚分配的client端IP地址产生一条静态路由,以便正确地路由发送给client端的数据包。
7、Client收到配置参数,双方建立IPSec SA

配置过程:
1、创建IKE策略集,该策略集至少要能与*** client的一个内置策略集相匹配,以便在server和client之间建立IKESA
2、定义要推送给client的组属性,其中包含分配给client的地址池、pre-share key等
3、定义IPSec变换集(只用于client触发建立IPSec SA时,如果是server触发建立IPSecSA就不需要使用)
4、启用DPD死亡对端检测
5、配置Xauth扩展认证
6、把crypto map应用到路由器端口上
上述转载自:http://bbs.net130.com/printthread.php?t=163614
配置如下:
username test password 702050D480809

本地认证授权数据库账户
aaa new-model
!
!
aaa authentication login cisco local AAA本地用户接入验证
aaa authorization network default local  AAA网络接入授权

!
crypto isakmp policy 10 定义IKE策略-第一阶段
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 20 10
crypto isakmp client configuration address-pool local abc
crypto isakmp xauth timeout 20

!
crypto isakmp client configuration group meeting  配置客户端推送策略
key meet
pool abc
acl 101    隧道分离ACL
!
!
crypto ipsec transform-set KQ3745 esp-desesp-md5-hmac  创建IPSec变换集
!
!
crypto dynamic-map easy*** 10 由于远程用户是移动的,所以要定义动态MAP
set transform-set KQ3745
reverse-route 开启反向路由注入,指向动态分配客户端网络的地址,下一跳为*** peer地址
!
!
crypto map ***map clientauthentication list cisco  Xauth认证方式与crypto map关联
crypto map ***map isakmpauthorization list default
crypto map ***map clientconfiguration addre***espond 配置路由器响应client的IP地址申请
crypto map ***map 1 ipsec-isakmp dynamic easy***  将动态crypt map与静态MAP结合
!
!
!
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 11.11.11.11 255.255.255.0
duplex auto
speed auto
crypto map ***map  接口下应用加密图
!
ip local pool abc 10.14.1.110.14.1.200 定义本地为远程用户自动分配的地址池范围
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 11.11.11.1

!
!
!
access-list 101 permit ip 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255
access-list 101 permit tcp 192.168.103.0 0.0.0.255 eq 3389 10.40.1.0 0.0.0.255 eq 3389
access-list 101 permit icmp 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login authentication cisco
!
end
配置完成,本人在配置的过程中遇到"Secure *** connection terminated by the client.Reason412:the remote peer is no longer responding"的错误,后来发现时本地AAA网络授权方式和crypto map ***map isakmpauthorization中不一样,本配置中我后来全部改为default,连接成功。

转载于:https://blog.51cto.com/8669236/1369187

cisco3745做Easy ×××相关推荐

  1. h3c AR28/AR46 路由器用出接口地址做Easy NAT的典型配置

    [需求] 内网用户通过路由器 的 NAT 转换来访问 Internet.   [组网图]   [配置 脚本] RouterA 配置脚本 # sysname RouterA # radius schem ...

  2. LeetCode刷题记录1——717. 1-bit and 2-bit Characters(easy)

    LeetCode刷题记录1--717. 1-bit and 2-bit Characters(easy) LeetCode刷题记录1--717. 1-bit and 2-bit Characters( ...

  3. 网络入门-NAT网络地址转换-Easy ip

    209.NAT网络地址转换--Easy  IP :允许多个私网地址转换成公网IP地址:企业网常用: 210 .实验topo: 原理: 内网私网地址转换成公网接口g0/0/1 当前的IP地址: 先将内网 ...

  4. Easy AR通过Http协议上传本地图片至云图库

    前言 之前做Easy AR的云识别功能,里面有一个上传手机相册的图片到云识别图库的功能,我当时在网上没找到相关的方法,EasyAR官方文档也没找到解决方案,后面自己结合文档加自己的推测,最终使用Htt ...

  5. 【实验】DHCP、NAT配置案例

    拓扑图 规格 适用于所有版本.所有形态的AR路由器. 组网需求 Router作为某企业出口网关.该企业包括两个部门A和B,分别为部门A和B内终端规划两个地址网段:10.10.1.0/25和10.10. ...

  6. 【实验】配置DHCP和NAT访问Internet公网案例

    网络拓扑图: 规格 适用于所有版本.所有形态的AR路由器. 组网需求 Router作为某企业出口网关.该企业包括两个部门A和B,分别为部门A和B内终端规划两个地址网段:10.10.1.0/25和10. ...

  7. 力扣刷题流程-参考别人的经验觉得很有道理的

    刷题几个阶段: 1,第一遍:知道.直接看答案,不要自己想,了解所有最优解,方法技巧第一.做题套路,以印象为主. 2,第二遍:熟悉.过easy题,记住:做medium,重点题背,反复背.最简单会,大多不 ...

  8. 深度剖析头条面试真题 | 二叉树那点事儿

    点击上方蓝字设为星标 和程序员吴师兄开始今天的学习- 这也是笔者年前面试今日头条时的一道比较基础的二叉树面试题,之前并没有做过,事后发现是 LeetCode 的原题. 其实这个无所谓了,LeetCod ...

  9. [网络工程师]-路由配置-NAT配置

    华为路由器配置NA的方式有很多种,最常见的基本配置方式有Easy IP和NAT地址池. 1.通过Easy IP进行NAT 如下图所示,Router的出接口GE0/0/1的IP地址为200.100.1. ...

  10. GDKOI 2017 参赛总结

    GDKOI 2017 参赛总结 石门实验中学 酱油选手*** 概述 2017年2月18日~19日,GDKOI 2017在广州市顺利举行,石门实验中学参赛选手共3人,教练员1名.这次比赛,我校参赛选手的 ...

最新文章

  1. 模版方法模式/Template Method
  2. C#调用API向外部程序发送数据(转载)
  3. defunct 进程占用端口_UAV心跳机制与容器、进程数据采集
  4. 线性回归csv数据集_用mxnet的gluon线性回归训练只有两个特征的数据集
  5. UWP开发---通过委托跨页面导航
  6. SQL必知必会-数据库基础
  7. 【CSAPP笔记】14. 异常控制流和进程
  8. Java学习日志(19-3-IO流-字节流操作)
  9. 计算机无法读取智能卡,电脑智能卡读卡器驱动程序丢失怎么办?如何重新安装智能卡服务?...
  10. 用python爬取隐藏内容_人民日报点赞北大保安小哥,自学Python后,人生开挂了!...
  11. 关于写作,别那么在意别人的看法,开始干吧
  12. win7或者win10碰到需要administrator权限才能删除的解决办法
  13. 想要玩转数字影音?可以找Adobe帮忙呀
  14. 快手光合计划完整版攻略
  15. 电子表格转web程序控件SpreadsheetWeb v6.0史上最大版本发布 | 附下载
  16. 硅步机器人-Shadow先进仿人灵巧手
  17. 微信小程序的视图层总结
  18. Axure 9快捷键大全
  19. 有考c语言的软件工程专硕吗,软件工程 专硕《C语言与数据结构》-考试大纲.doc...
  20. C++与Lua相互调用

热门文章

  1. uigetfile命令的应用
  2. 解析FL Studio冻结小技巧
  3. 基于scrapy-splash进行单页应用网站seo处理
  4. Linux的学习之路grep命令
  5. 山石防火墙CLI创建VLAN
  6. [洛谷P3388]【模板】割点(割顶)
  7. PAT 1103 Integer Factorization[难]
  8. Angular CLI 生成项目时css less scss样式使用说明
  9. iOS仿京东分类菜单之UICollectionView内容
  10. 自定义实现js的confirm方法