使用SDM建立远程接入easy VPN.docx

使用SDM建立远程接入VPN某公司总部接入Internet，并有一个公网IP 地址；远程办公室也接入了Internet，出于节省费用方面考虑，并未申请固定的IP 地址，远程办公室的成员要能安全访问公司总部内的资源；一部分移动和家庭用户也要能安全访问公司总部内的资源。在这种情况下，因远程办公室、移动和家庭用户没有固定的IP 地址，不具备使用站点到站点VPN 的条件，这就需要配置远程接入VPN ，也称Easy VPN。分析：要保证远程办公室和公司总部人员都可以访问互联网，这就要求在总部和远程办公室的出口路由器上配置NAT；要保证移动和家庭用户能安全访问公司总部内的资源，需要在公司总部配置Easy VPN Server，在移动和家庭用户计算机上配置Easy VPN Client ；要保证远程办公室的成员都能安全访问公司总部内的资源，这就要求在公司总部配置Easy VPN Server 端，在远程办公室的出口设备上配置Easy VPN Remote端；网络能够安全互访，这就需要配置总部到分部的VPN ，通过配置VPN 即安全，又节省费用。抽象成实验拓扑。该实验难度较大，借助SDM可以使配置简单化，并且不容易出错和遗漏配置，读者可以查看SDM向导产生的配置文件，学习Easy VPN相关的配置命令，也可通过命令行对配置文件进行修改。本实验分为网络基本配置、Easy VPN Server配置、Easy VPN Client 配置和Easy VPN Remote配置四个大步骤，每个大步骤中又包括若干小步骤：1. 网络基本配置Step 1,配置虚拟机IP地址。配置虚拟机1网卡类型Host-only，IP地址，掩码，网关，DNS为。配置虚拟机2网卡类型Bridged，IP地址，掩码，网关，DNS为。Step 2,基本路由配置。配置路由器R1、R2和R3的接口IP地址，并配置静态路由，保证R1、R2和R3之间的公网IP地址可以互通。R1的配置如下：R1(config)#int f0/0 R1(config-if)#ip add R1(config-if)#no shut R1(config-if)#ip add R1(config-if)#no shut R1(config-if)#no cdp run R1(config)#ip route R2的配置如下：R2(config)#int s1/0 R2(config-if)#ip add R2(config-if)#no shut R2(config-if)#int s1/1 R2(config-if)#ip add R2(config-if)#no shut注意：R2上不需要添加任何静态路由，因10网段的地址是被NAT转换成公网地址后才发出来的。就像Internet上的路由器不会添加某个网络内部私有地址的路由一样，事实也是无法添加的，因使用同一段私有地址的公司太多了。R3的配置如下：R3(config)#int s1/0 R3(config-if)#ip add R3(config-if)#no shut R3(config)#intfa 2/0 R3(config-if)#ip add R3(config-if)#no shut R3(config-if)#no cdp run R3(config)#ip route Step 3,配置NAT。R1(config)#intfa 0/0 R1(config-if)#ipnat inside R1(config-if)#int s1/1 R1(config-if)#ipnat outside R1(config-if)#exit R1(config)# access-list 1 permit ip any R1(config)#ipnat inside source list 1 interface s1/1 overload R3的配置如下：R3(config)#intfa 2/0 R3(config-if)#ipnat inside R3(config-if)#int s1/0 R3(config-if)#ipnat outside R3(config)# access-list 1 permit ip anyR3(config)#ipnat inside source list 1 interface s1/0 overload 至此，虚拟机1 和虚拟机2 应该可以ping 通所有的公有地址，譬如，，，。但虚拟机1 和虚拟机2 之间无法ping 通。2. 配置Easy VPN Server Step 1，配置路由器R1支持SDM。配置如下：R1(config)#intfa 0/0 R1(config-i