PT5.2基于AAA的Easy VPN实验.docx

PacketTracer　5.2基于AAA的Easy VPN实验在博客中的《Cisco PacketTracer　5.2模拟器的Easy VPN实验指南》，所才用接入用户认证是路由器上的用户名密码的本地认证。今天的实验我使用PacketTracer　5.2（软件下载见我的博客文章《PacketTracer　5.2的IPsec VPN实验说明(附PacketTracer　5.2下载地址)》）中自带的AAA服务功能来认证授权Easy VPN。所谓，AAA就是认证（Authentication），授权（Authorization），审计（Accounting）这三个英文单词的缩写。（在国内，审计常被称为计费。一切向“钱”看啊！）。简单讲AAA的基本工作原理就是，一个事件先必须通过认证才能接入进来；然后根据相应的授权策略，下发相应的权限；审计则记录发生的每件事情。Easy VPN的讲解见我博客《Cisco PacketTracer　5.2模拟器的Easy VPN实验指南》。本次就在《Cisco PacketTracer　5.2模拟器的Easy VPN实验指南》的基础上采用AAA服务器，实验的基本连通性配置，也见那篇文章。本次试验重点讲解AAA。实验拓扑：左下角的AAA服务器配置如下：双击服务器图标，选择Config，在选择AAA：AAA服务器配置简单说明：Clientname是随意的，Client IP是你所要管理的路由器或交换机等网络设备的IP地址。Secret是AAA服务器与管理的网络设备之间的密钥。ServiceType是协议内型，Radius是国际标准，Tacacs是cisco专有协议。本实验使用的Radius。配置用户名和密码如图所示，点“+”添加。?总部路由的AAA Easy VPN 配置：aaa new-modelaaa authentication login eza group radius （使用AAA认证）aaa authorization network ezo group radius radius-server host auth-port 1645 key 123（指点AAA服务器的IP地址和密钥，1645是Radius的默认端口号）cryptoisakmp policy 10encr 3deshash md5authentication pre-sharegroup 2exitcryptoipsec transform-set tim esp-3des esp-md5-hmacip local pool ez 00cryptoisakmp client configuration group myezkey 123poolezcrypto dynamic-map ezmap 10set transform-set timreverse-routeexitcrypto map tom client authentication list ezacrypto map tom isakmp authorization list ezocrypto map tom client configuration address respondcrypto map tom 10 ipsec-isakmp dynamic ezmapinterfacefa 0/1crypto map tomexit测试：在远端笔记本的VPN中输入如下信息：GroupName：myezGroup key：123Host IP(server IP)：Username：xiaoTPassword：123点击connect，就会提示连接上去，此时会显示下发的IP地址。（若没马上连上去，在配置没错的前提下，Ipsec VPN协商时，前面几个包是不通的，解决方法，在ping一下，再连接Easy VPN）。Easy VPN接入后，就可ping总部的任何地址了！附件下载：http://9916376./468239/197816