最简环境下的IPsec VPN配置举例

对于初学网络设备配置的人来说VPN是个难点，在配置时总会出现这样那样的问题，在网上看到很多配置都是综合应用，出错时就不知道那些地方出错了，下面在Packet tracer5.3下用最简单的环境进行配置。

第一：首先保证内网能够访问外网（地址转换）

配置PC机IP

school-vpn上作如下配置：

intF0/0 
ipaddress192.168.1.254255.255.255.0 
ipnatinside 
intF0/1 
ipaddress100.1.1.1255.255.255.0 
ipnatoutside 
cryptomapschool-map（VPN配置完成最后再配） 
pnatinsidesourcelist1interfaceFastEthernet0/1overload端口复用 
access-list1permit192.168.1.00.0.0.255（允许192.168.1.0/24网段访问外网） 

iproute0.0.0.00.0.0.0FastEthernet0/1（缺省路由）

ISP上作如下配置：

intF0/0 
ipaddress100.1.1.2255.255.255.0 
intF0/1 
ipaddress200.1.1.1255.255.255.0

进行测试：内网可以连到外网上

第二：进行IPSEC-vpn配置

school-vpn上作如下配置：

aaanew-model 
aaaauthenticationloginvpn-alocal 
aaaauthorizationnetworkvpn-olocal进行3A认证 
usernamevpnpassword0vpn建立用户以及密码 

cryptoisakmppolicy10建立ipsec安全参数配置 
hashmd5 
authenticationpre-share 
cryptoisakmpclientconfigurationgroupvpngeasyvpn的组及密码配置,vpngroup为组名 
keyvpn群组密码 
poolvpn-pVPN用户的地址池 

iplocalpoolvpn-p192.168.100.1192.168.100.10建立分配给VPN用户的地址池 

cryptoipsectransform-setschool-setesp-3desesp-md5-hmacIpsec阶段2配置 
cryptodynamic-mapd-map10动态加密图 
settransform-setschool-set 
reverse-route反向路由注入 
cryptomapschool-mapclientauthenticationlistvpn-aEasyvpn用户的认证授权配置 

cryptomapschool-mapisakmpauthorizationlistvpn-o 
cryptomapschool-mapclientconfigurationaddressrespond 
cryptomapschool-map10ipsec-isakmpdynamicd-map

最后在端口上绑定：

interfaceFastEthernet0/1 
cryptomapschool-map

校外工作人员从外网登录到内网：