×××客户端拨号接入实验

实验描述：C0代表拨号上网的电脑，装有Cisco ××× Client 5.05.0280。R1模拟ISP，提供C0的PPPoE拨号接入并连接到R2。R2为easy ××× Server，对C0的×××接入进行验证及授权。

拓扑描述：

C0：个人PC，装有RasPPPoE拨号软件及Cisco ××× Client；

R1：ISP，F1/0口为C0提供PPPoE接入，并提供到R2的三层连通性；

R2：easy ××× Server，验证来自C0的××× Client并授权访问内部网络；

R3：模拟内网环境。

实验软件：GNS3 0.61，RasPPPoE 0.98，Cisco ××× Client 5.05.0280（以下简称client）。注意本实验R2必须采用12.2以上且带有×××功能的IOS。

实验目的：开始时C0无法ping通R3的L0口地址。运行client，自动拨号并连接到R2进行认证授权后，ping通R3的L0口地址。

实验描述：

一、C0（模拟远程工作站）

（零）、这步可做可不做，就是在windows里建立一个loopback网卡，用于拨号。当然不做的话使用物理网卡也可以，因为拨号后是上不了外网的。

（一）、安装RasPPPoE

若使用windows自带的拨号软件，这一步可以跳过。个人比较喜欢这个拨号软件，感觉比较稳定。安装没有什么问题，只是中间会提示“未签名驱动”，不用管；

（二）、安装client

同样是下一步+重启。配置的话等到配置完R2时再做。

二、R1（模拟ISP）

（一）、PPPoE+DHCP

由于模拟的是ADSL拨号上网的环境，因此配置采用PPPoE+DHCP的方式。详情可见之前的一篇文章（人懒了，呵呵）；

（二）、连通性

注意这里连通性只是S0/0到R2 S1/0接口的连通性。实际上，只要直连端口能够ping通即可。

三、R2（模拟Easy ××× Server）

包括很多步骤，逐一说明：

（一）、内网连通性

主要有三个目标。

1、在R2上建立一条到达R1（ISP）的默认路由并通告到EIGRP内；

2、R2上建立一个Loopback端口并通告到EIGRP内（作用下面提到）；

3、使R3的内网对于R2可达。

（二）、×××

很复杂的配置，注意很多配置由于是针对client的，不能更改。个人有些地方还不是很了解，希望高手指点：

1、aaa认证，虽然不需要审计，但是认证和授权还是放到路由器上面做。认证信息也放到local里；

2、isakmp配置。这里需要说明的是由于client不可选，因此isakmp的策略必须配置为：认证为pre-share，加密为aes 256，校验为md5，group为2。另外由于client的随意性，需要配置DPD检测客户端是否有效。

3、重点之一，为××× client配置isakmp。由于client不是固定地址的（这里是ISP随机配的），之前所用到的isakmp key命令无效（一开始配置时没有仔细看说明，配到这一步就打住了）。因此这里使用了isakmp client configuration group GROUP_NAME作为定义client的isakmp策略。包括KEY、为访问内网而分配给client的地址池以及掩码、隧道分离时使用隧道的流量定义等。这里的分配地址池与R2本身的loopback处于同一个网段，由于该网段被eigrp通告了，因此全内网可达，并且不会因为某个端口的故障而造成所有client不可达。

4、ipsec的transform-set，必须使用esp-3des和esp-sha-hmac；

5、重点之一，创建dynamic-map。由于是client属于动态接入，crypto map不能使用静态ipsec-isakmp的方式静态建立sa，因此要使用dynamic-map待client经过认证授权后动态建立sa；

6、crypto配置。由于是××× client，因此crypto map必须首先指定对client进行xauth，包括认证（login时进行）、isakmp的授权（network表示访问内网的权限），然后对每一个client响应分配新的内网地址（这样才能够允许adsl用户接入），最后使用dynamic-map建立isakmp和ipsec的SA。

四、R3（模拟内网网段）

主要是通过eigrp接收R2的loopback网段以及通告内网网段。

 

主要配置：

C0：

1、打开×××软件；

 

2、点击New图标，弹出对话框；

3、输入，其中1、2行随便，Host填写R2的外连口地址；组认证填写client configuration group的名称和key；

4、选择Dial-Up标签，勾上via dial-up一项；注意连接设备要选择RasPPPoE所建立的拨号连接，最后按Save；

5、右键点选新建条目，并选择Connect；

6、出现拨号界面的话，按照R1的配置填写用户名/密码；

7、出现认证提示框，输入R2用于aaa的username/password；

 

-----------------------我不是分割线哦-----------------------

R1#

hostname INTERNET
ip dhcp excluded-address 1.0.0.11 1.0.0.254
!
ip dhcp pool FOR_×××_DHCP
   network 1.0.0.0 255.255.255.0
   default-router 1.0.0.1
!
username cisco password 0 cisco
!
bba-group pppoe FOR_CISCO_×××
virtual-template 1
!
interface Loopback0
ip address 1.0.0.1 255.255.255.0
!
interface Serial0/0
description To OFFICE_1's S0/0,ip 12.0.0.2/24
ip address 12.0.0.1 255.255.255.0
!
interface FastEthernet1/0
no ip address
pppoe enable group FOR_CISCO_×××
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address dhcp-pool FOR_×××_DHCP
ppp authentication chap
!
end

-----------------------好吧我承认我是分割线-----------------------

R2#

hostname OFFICE_1
!
aaa new-model
!
aaa authentication login ×××_AUTH local
aaa authorization network ×××_AUTH local
!
username cisco*** password 0 cisco***
!
crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 30 5
crypto isakmp xauth timeout 60

!
crypto isakmp client configuration group ×××_GROUP
key ×××_GROUP
pool ×××_POOL
acl FOR_×××_ACL
netmask 255.255.255.0
!
crypto ipsec transform-set MY_TRANS esp-3des esp-sha-hmac
!
crypto dynamic-map MY_DYNAMIC_MAP 10
set transform-set MY_TRANS
reverse-route
!
crypto map MY_CRYPTO_MAP client authentication list ×××_AUTH
crypto map MY_CRYPTO_MAP isakmp authorization list ×××_AUTH
crypto map MY_CRYPTO_MAP client configuration address respond
crypto map MY_CRYPTO_MAP 10 ipsec-isakmp dynamic MY_DYNAMIC_MAP
!
interface Loopback0
ip address 2.0.0.2 255.255.255.0
!
interface Serial1/0
description To INTERNET's S0/0,ip 12.0.0.1/24
ip address 12.0.0.2 255.255.255.0
serial restart-delay 0
crypto map MY_CRYPTO_MAP
!
interface Serial1/1
description To OFFICE_2's S0/0,ip 23.0.0.3/24
ip address 23.0.0.2 255.255.255.0
serial restart-delay 0
!
router eigrp 1
redistribute static route-map EIGRP_DEF_ONLY_RM
network 2.0.0.2 0.0.0.0
network 23.0.0.2 0.0.0.0
no auto-summary
eigrp router-id 2.2.2.2
!
ip local pool ×××_POOL 2.0.0.11 2.0.0.20
ip route 0.0.0.0 0.0.0.0 12.0.0.1
!
ip access-list extended FOR_×××_ACL
permit ip 2.0.0.0 0.0.0.255 any
permit ip 3.0.0.0 0.0.0.255 any
!
ip prefix-list EIGRP_DEF_ONLY_PL seq 5 permit 0.0.0.0/0
!
route-map EIGRP_DEF_ONLY_RM permit 10
match ip address prefix-list EIGRP_DEF_ONLY_PL
!
end

-----------------------我都说我是分割线了阿-----------------------

R3#

hostname OFFICE_2
！
interface Loopback0
ip address 3.0.0.3 255.255.255.0
!
interface Serial0/0
description To OFFICE's S0/1,ip 23.0.0.2/24
ip address 23.0.0.3 255.255.255.0
serial restart-delay 0
!
router eigrp 1
network 3.0.0.3 0.0.0.0
network 23.0.0.3 0.0.0.0
no auto-summary
eigrp router-id 3.3.3.3
!
end

-----------------------没见过这么美的分割线-----------------------

 

实验结果：

一、开始时

二、完成时