×××客戶端撥號接入實驗
阿新 • • 發佈:2020-10-09
實驗描述:C0代表撥號上網的電腦,裝有Cisco ××× Client 5.05.0280。R1模擬ISP,提供C0的PPPoE撥號接入並連線到R2。R2為easy ××× Server,對C0的×××接入進行驗證及授權。
拓撲描述:
C0:個人PC,裝有RasPPPoE撥號軟體及Cisco ××× Client;
R1:ISP,F1/0口為C0提供PPPoE接入,並提供到R2的三層連通性;
R2:easy ××× Server,驗證來自C0的××× Client並授權訪問內部網路;
R3:模擬內網環境。
實驗軟體:GNS3 0.61,RasPPPoE 0.98,Cisco ××× Client 5.05.0280(以下簡稱client)。注意本實驗R2必須採用12.2以上且帶有×××功能的IOS。
實驗目的:開始時C0無法ping通R3的L0口地址。執行client,自動撥號並連線到R2進行認證授權後,ping通R3的L0口地址。
實驗描述:
一、C0(模擬遠端工作站)
(零)、這步可做可不做,就是在windows裡建立一個loopback網絡卡,用於撥號。當然不做的話使用物理網絡卡也可以,因為撥號後是上不了外網的。
(一)、安裝RasPPPoE
若使用windows自帶的撥號軟體,這一步可以跳過。個人比較喜歡這個撥號軟體,感覺比較穩定。安裝沒有什麼問題,只是中間會提示“未簽名驅動”,不用管;
(二)、安裝client
同樣是下一步+重啟。配置的話等到配置完R2時再做。
二、R1(模擬ISP)
(一)、PPPoE+DHCP
由於模擬的是ADSL撥號上網的環境,因此配置採用PPPoE+DHCP的方式。詳情可見之前的一篇文章(人懶了,呵呵);
(二)、連通性
注意這裡連通性只是S0/0到R2 S1/0介面的連通性。實際上,只要直連埠能夠ping通即可。
三、R2(模擬Easy ××× Server)
包括很多步驟,逐一說明:
(一)、內網連通性
主要有三個目標。
1、在R2上建立一條到達R1(ISP)的預設路由並通告到EIGRP內;
2、R2上建立一個Loopback埠並通告到EIGRP內(作用下面提到);
3、使R3的內網對於R2可達。
(二)、×××
很複雜的配置,注意很多配置由於是針對client的,不能更改。個人有些地方還不是很瞭解,希望高手指點:
1、aaa認證,雖然不需要審計,但是認證和授權還是放到路由器上面做。認證資訊也放到local裡;
2、isakmp配置。這裡需要說明的是由於client不可選,因此isakmp的策略必須配置為:認證為pre-share,加密為aes 256,校驗為md5,group為2。另外由於client的隨意性,需要配置DPD檢測客戶端是否有效。
3、重點之一,為××× client配置isakmp。由於client不是固定地址的(這裡是ISP隨機配的),之前所用到的isakmp key命令無效(一開始配置時沒有仔細看說明,配到這一步就打住了)。因此這裡使用了isakmp client configuration group GROUP_NAME 
2、點選New圖示,彈出對話方塊;
3、輸入,其中1、2行隨便,Host填寫R2的外連口地址;組認證填寫client configuration group的名稱和key;
4、選擇Dial-Up標籤,勾上via dial-up一項;注意連線裝置要選擇RasPPPoE所建立的撥號連線,最後按Save;
5、右鍵點選新建條目,並選擇Connect;
6、出現撥號介面的話,按照R1的配置填寫使用者名稱/密碼;
7、出現認證提示框,輸入R2用於aaa的username/password;
-----------------------我不是分割線哦-----------------------
R1#
hostname INTERNET
!
ip dhcp pool FOR_×××_DHCP
network 1.0.0.0 255.255.255.0
default-router 1.0.0.1
!
username cisco password 0 cisco
!
bba-group pppoe FOR_CISCO_×××
virtual-template 1
!
interface Loopback0
ip address 1.0.0.1 255.255.255.0
!
interface Serial0/0
description To OFFICE_1's S0/0,ip 12.0.0.2/24
ip address 12.0.0.1 255.255.255.0
!
interface FastEthernet1/0
no ip address
pppoe enable group FOR_CISCO_×××
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address dhcp-pool FOR_×××_DHCP
ppp authentication chap
!
end -----------------------好吧我承認我是分割線----------------------- R2# hostname OFFICE_1
!
aaa new-model
!
aaa authentication login ×××_AUTH local
aaa authorization network ×××_AUTH local
!
username cisco*** password 0 cisco***
!
crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 30 5
crypto isakmp xauth timeout 60 !
crypto isakmp client configuration group ×××_GROUP
key ×××_GROUP
pool ×××_POOL
acl FOR_×××_ACL
netmask 255.255.255.0
!
crypto ipsec transform-set MY_TRANS esp-3des esp-sha-hmac
!
crypto dynamic-map MY_DYNAMIC_MAP 10
set transform-set MY_TRANS
reverse-route
!
crypto map MY_CRYPTO_MAP client authentication list ×××_AUTH
crypto map MY_CRYPTO_MAP isakmp authorization list ×××_AUTH
crypto map MY_CRYPTO_MAP client configuration address respond
crypto map MY_CRYPTO_MAP 10 ipsec-isakmp dynamic MY_DYNAMIC_MAP
!
interface Loopback0
ip address 2.0.0.2 255.255.255.0
!
interface Serial1/0
description To INTERNET's S0/0,ip 12.0.0.1/24
ip address 12.0.0.2 255.255.255.0
serial restart-delay 0
crypto map MY_CRYPTO_MAP
!
interface Serial1/1
description To OFFICE_2's S0/0,ip 23.0.0.3/24
ip address 23.0.0.2 255.255.255.0
serial restart-delay 0
!
router eigrp 1
redistribute static route-map EIGRP_DEF_ONLY_RM
network 2.0.0.2 0.0.0.0
network 23.0.0.2 0.0.0.0
no auto-summary
eigrp router-id 2.2.2.2
!
ip local pool ×××_POOL 2.0.0.11 2.0.0.20
ip route 0.0.0.0 0.0.0.0 12.0.0.1
!
ip access-list extended FOR_×××_ACL
permit ip 2.0.0.0 0.0.0.255 any
permit ip 3.0.0.0 0.0.0.255 any
!
ip prefix-list EIGRP_DEF_ONLY_PL seq 5 permit 0.0.0.0/0
!
route-map EIGRP_DEF_ONLY_RM permit 10
match ip address prefix-list EIGRP_DEF_ONLY_PL
!
end -----------------------我都說我是分割線了阿----------------------- R3# hostname OFFICE_2
!
interface Loopback0
ip address 3.0.0.3 255.255.255.0
!
interface Serial0/0
description To OFFICE's S0/1,ip 23.0.0.2/24
ip address 23.0.0.3 255.255.255.0
serial restart-delay 0
!
router eigrp 1
network 3.0.0.3 0.0.0.0
network 23.0.0.3 0.0.0.0
no auto-summary
eigrp router-id 3.3.3.3
!
end -----------------------沒見過這麼美的分割線----------------------- 實驗結果: 一、開始時
二、完成時
實驗軟體:GNS3 0.61,RasPPPoE 0.98,Cisco ××× Client 5.05.0280(以下簡稱client)。注意本實驗R2必須採用12.2以上且帶有×××功能的IOS。
實驗目的:開始時C0無法ping通R3的L0口地址。執行client,自動撥號並連線到R2進行認證授權後,ping通R3的L0口地址。
實驗描述:
一、C0(模擬遠端工作站)
(零)、這步可做可不做,就是在windows裡建立一個loopback網絡卡,用於撥號。當然不做的話使用物理網絡卡也可以,因為撥號後是上不了外網的。
(一)、安裝RasPPPoE
若使用windows自帶的撥號軟體,這一步可以跳過。個人比較喜歡這個撥號軟體,感覺比較穩定。安裝沒有什麼問題,只是中間會提示“未簽名驅動”,不用管;
(二)、安裝client
同樣是下一步+重啟。配置的話等到配置完R2時再做。
二、R1(模擬ISP)
(一)、PPPoE+DHCP
由於模擬的是ADSL撥號上網的環境,因此配置採用PPPoE+DHCP的方式。詳情可見之前的一篇文章(人懶了,呵呵);
(二)、連通性
注意這裡連通性只是S0/0到R2 S1/0介面的連通性。實際上,只要直連埠能夠ping通即可。
三、R2(模擬Easy ××× Server)
包括很多步驟,逐一說明:
(一)、內網連通性
主要有三個目標。
1、在R2上建立一條到達R1(ISP)的預設路由並通告到EIGRP內;
2、R2上建立一個Loopback埠並通告到EIGRP內(作用下面提到);
3、使R3的內網對於R2可達。
(二)、×××
很複雜的配置,注意很多配置由於是針對client的,不能更改。個人有些地方還不是很瞭解,希望高手指點:
1、aaa認證,雖然不需要審計,但是認證和授權還是放到路由器上面做。認證資訊也放到local裡;
2、isakmp配置。這裡需要說明的是由於client不可選,因此isakmp的策略必須配置為:認證為pre-share,加密為aes 256,校驗為md5,group為2。另外由於client的隨意性,需要配置DPD檢測客戶端是否有效。
3、重點之一,為××× client配置isakmp。由於client不是固定地址的(這裡是ISP隨機配的),之前所用到的isakmp key命令無效(一開始配置時沒有仔細看說明,配到這一步就打住了)。因此這裡使用了isakmp client configuration group GROUP_NAME
2、點選New圖示,彈出對話方塊;
3、輸入,其中1、2行隨便,Host填寫R2的外連口地址;組認證填寫client configuration group的名稱和key;
4、選擇Dial-Up標籤,勾上via dial-up一項;注意連線裝置要選擇RasPPPoE所建立的撥號連線,最後按Save;
5、右鍵點選新建條目,並選擇Connect;
6、出現撥號介面的話,按照R1的配置填寫使用者名稱/密碼;
7、出現認證提示框,輸入R2用於aaa的username/password;
-----------------------我不是分割線哦-----------------------
R1#
hostname INTERNET !
ip dhcp pool FOR_×××_DHCP
network 1.0.0.0 255.255.255.0
default-router 1.0.0.1
!
username cisco password 0 cisco
!
bba-group pppoe FOR_CISCO_×××
virtual-template 1
!
interface Loopback0
ip address 1.0.0.1 255.255.255.0
!
interface Serial0/0
description To OFFICE_1's S0/0,ip 12.0.0.2/24
ip address 12.0.0.1 255.255.255.0
!
interface FastEthernet1/0
no ip address
pppoe enable group FOR_CISCO_×××
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address dhcp-pool FOR_×××_DHCP
ppp authentication chap
!
end -----------------------好吧我承認我是分割線----------------------- R2# hostname OFFICE_1
!
aaa new-model
!
aaa authentication login ×××_AUTH local
aaa authorization network ×××_AUTH local
!
username cisco*** password 0 cisco***
!
crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 30 5
crypto isakmp xauth timeout 60 !
crypto isakmp client configuration group ×××_GROUP
key ×××_GROUP
pool ×××_POOL
acl FOR_×××_ACL
netmask 255.255.255.0
!
crypto ipsec transform-set MY_TRANS esp-3des esp-sha-hmac
!
crypto dynamic-map MY_DYNAMIC_MAP 10
set transform-set MY_TRANS
reverse-route
!
crypto map MY_CRYPTO_MAP client authentication list ×××_AUTH
crypto map MY_CRYPTO_MAP isakmp authorization list ×××_AUTH
crypto map MY_CRYPTO_MAP client configuration address respond
crypto map MY_CRYPTO_MAP 10 ipsec-isakmp dynamic MY_DYNAMIC_MAP
!
interface Loopback0
ip address 2.0.0.2 255.255.255.0
!
interface Serial1/0
description To INTERNET's S0/0,ip 12.0.0.1/24
ip address 12.0.0.2 255.255.255.0
serial restart-delay 0
crypto map MY_CRYPTO_MAP
!
interface Serial1/1
description To OFFICE_2's S0/0,ip 23.0.0.3/24
ip address 23.0.0.2 255.255.255.0
serial restart-delay 0
!
router eigrp 1
redistribute static route-map EIGRP_DEF_ONLY_RM
network 2.0.0.2 0.0.0.0
network 23.0.0.2 0.0.0.0
no auto-summary
eigrp router-id 2.2.2.2
!
ip local pool ×××_POOL 2.0.0.11 2.0.0.20
ip route 0.0.0.0 0.0.0.0 12.0.0.1
!
ip access-list extended FOR_×××_ACL
permit ip 2.0.0.0 0.0.0.255 any
permit ip 3.0.0.0 0.0.0.255 any
!
ip prefix-list EIGRP_DEF_ONLY_PL seq 5 permit 0.0.0.0/0
!
route-map EIGRP_DEF_ONLY_RM permit 10
match ip address prefix-list EIGRP_DEF_ONLY_PL
!
end -----------------------我都說我是分割線了阿----------------------- R3# hostname OFFICE_2
!
interface Loopback0
ip address 3.0.0.3 255.255.255.0
!
interface Serial0/0
description To OFFICE's S0/1,ip 23.0.0.2/24
ip address 23.0.0.3 255.255.255.0
serial restart-delay 0
!
router eigrp 1
network 3.0.0.3 0.0.0.0
network 23.0.0.3 0.0.0.0
no auto-summary
eigrp router-id 3.3.3.3
!
end -----------------------沒見過這麼美的分割線----------------------- 實驗結果: 一、開始時
二、完成時
