Cisco-PacketTracer-5.2模拟器的Easy-VPN实验指南

admin管理员组

文章数量:1531666

2024年5月8日发(作者：)

Cisco-PacketTracer-5.2模拟器的Easy-VPN实验指南

Cisco PacketTracer 5.2模拟器的Easy VPN实验指南

Easy VPN是Cisco 独有的远程接入VPN技术。Easy VPN是在Ipsec VPN建立的

两个阶段（IKE阶段和IPSEC阶段）之间多了一个2.5阶段（用户认证阶段等）。

远程接入VPN的常用作用是为外出办公提供很好接入技术。回想当年的外出的移

动办公，那时候还是通过电话线拨号连接到内网访问资源。其网络速之慢，费用

之贵，小T我就不多说了！现在的外出移动办公接入内网访问资源，常用的是远

程VPN接入技术，其技术的优点在于网速快、费用低，只要你所在地方能上

Internet网，那么，你就很享受远程VPN接入所带来的好处！（大家有机会用过，

就会体会到）。

远程VPN接入技术，常见的有PPTP，L2TP，Easy VPN以及现在很火的SSL VPN

等。这些远程VPN接入技术优缺点，小Ｔ我会在以后的给大家聊聊！现在我以

Cisco PacketTracer 5.2这个模拟器为基础，做Easy VPN的实验。（讲得不好，

还请大家指点。需要下载这个软件的，见我的博客《PacketTracer 5.2的IPsec

VPN实验说明(附PacketTracer 5.2下载地址)》）

实验的基本思路是这样的，一台路由器做总部VPN网关，一台路由模拟Internet

网（就是没私有IP路由的路由器），一台路由路模拟能上Internet网的路由器

（也就是做了NAT上网）。外出移动办公的笔记本通过能上Internet网的路由器

Easy VPN连接到总部，并访问总部的web服务器。

实验拓扑：

1 / 4

Cisco-PacketTracer-5.2模拟器的Easy-VPN实验指南

IP地址规划如下：

总部服务器：192.168.1.1、24

总部路由器：fa 0/0 192.168.1.254/24

fa 0/1 100.1.1.2/24

Internet网路由器：fa 0/1 100.1.1.2/24

fa 0/0 200.1.1.1/24

远端路由器：fa 0/0

200.1.1.2/24

fa 0/1 172.16.1.254/24

办公笔记本：172.16.1.1、24

实验的基本配置如下:

总部路由器：

2 / 4

Cisco-PacketTracer-5.2模拟器的Easy-VPN实验指南

interface FastEthernet0/0

ip address 192.168.1.254 255.255.255.0

no shutdown

interface FastEthernet0/1

ip address 100.1.1.2 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 100.1.1.1

Internet路由器：

interface FastEthernet0/0

ip address 200.1.1.1 255.255.255.0

no shutdown

interface FastEthernet0/1

ip address 100.1.1.1 255.255.255.0

no shutdown

远端路由器的配置：

interface FastEthernet0/0

ip address 200.1.1.2 255.255.255.0

ip nat outside

no shutdown

interface FastEthernet0/1

ip address 172.16.1.254 255.255.255.0

ip nat inside

no

shutdown

ip nat inside source list 1 interface FastEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 200.1.1.1

access-list 1 permit 172.16.1.0 0.0.0.255

此时，远端的笔记本能上网，但不能访问总部内的Web服务器。现在在总部做

Easy VPN的配置。其配置如下：

aaa new-model（开启AAA认证）

aaa authentication login eza local（命名eza，对eza认证）

aaa authorization network ezo local（命名ezo，对ezo的事件授权）

username tang password 123（创建用户名密码）

crypto isakmp policy 10（Ipsec 阶段一的安全参数配置）

hash md5

authentication pre-share

group 2

ip local pool ez 192.168.2.1 192.168.2.10（Easy VPN 接入后所分配的地址）

crypto isakmp client configuration group myez（Easy VPN的组和密码配置）

3 / 4

Cisco-PacketTracer-5.2模拟器的Easy-VPN实验指南

key 123

pool ez

crypto ipsec transform-set tim esp-3des esp-md5-hmac（IPSec阶段二的配置）

crypto dynamic-map ezmap 10（动态加密图）

set transform-set tim

reverse-route（反向路由注入）

（以下是对Easy VPN的认证，授权配置，list是调用上面的AAA的配置名）

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap（最后，动态加密图必须有静态绑定）

interface FastEthernet0/1

crypto map tom（绑定到接口）

Easy VPN的测试：

测试如下：

首先，双击笔记本，打开图，选择Desktop，再下面选择command Pormpt，ping

一下总部的公网地址100.1.1.2，通了后再ping内部服务器192.168.1.1，此时

是ping不通的，因为我们来没Easy VPN 接入。

其次，我们依然选择Desktop下的VPN，依次输入如下信息：

GroupName：myez

Group key：123

Host IP(server IP)：100.1.1.2

Username：tang

Password：123

点击connect，就会提示连接上去，此时会显示下发的IP地址。（若没马上连上

去，在配置没错的前提下，Ipsec VPN协商时，前面几个包是不通的，解决方法，

在ping一下100.1.1.2，再连接Easy VPN）。

最后，我们访问web服务器，选择Desktop下的Web Browser，输入IP：192.168.1.1

即可访问到web服务器.

4 / 4

本文标签： 接入配置实验总部访问