EzVPN Client　完整配置

EzVPN client可分为硬件客户端（路由器或VPN 3000作客户端），软件客户端（PC中运行客户端软件），不管是那种情况，在客户端需要的配置非常少，主要配置在服务器端。VPN无法建立起来的原因很多，比如路由，NAT，地址池，验证等等，如果在实验环境中可以通过3个debug命令去发现问题：debug crypto isakmp、debug crypto engine、debug crypto ipsec，而这里以路由器分别作客户端和服务器，完整配置如下：

服务器：

第一步：配置XAUTH

R1(config)#aaa new-model

R1(config)#aaa authentication login ccxx local

R1(config)#username yjj password yjj

R1(config)#enable secret cisco

R1(config)#crypto map test client authentication list ccxx

R1(config)#crypto isakmp xauth timeout 30

第二步：建立IP地址池

R1(config)#ip local pool p1 100.1.1.100 100.1.1.200

第三步：配置组策略查找

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 2

R1(config-isakmp)#exit

第四步：为MC推定义组策略

R1(config)#crypto isakmp client configuration group ccie

R1(config-isakmp-group)#key ccie

R1(config-isakmp-group)#dns 100.1.1.10 100.1.1.11

R1(config-isakmp-group)#wins 100.1.1.12 100.1.1.13

R1(config-isakmp-group)#domain yjj.com

R1(config-isakmp-group)#pool p1

R1(config-isakmp-group)#exit

第五步：建立变换集

R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

R1(cfg-crypto-trans)#exit

第六步：用RRI建立动态加密映射

R1(config)#crypto dynamic-map dy 1

R1(config-crypto-map)#set transform-set myset

R1(config-crypto-map)#reverse-route

R1(config-crypto-map)#exit

第七步：将MC应用到动态映射

R1(config)#crypto map test client configuration address respond

R1(config)#crypto map test isakmp authorization list ccie

R1(config)#crypto map test 1 ipsec-isakmp dynamic dy

第八步：将动态加密映射应用到接口

R1(config)#int s0/0

R1(config-if)#crypto map test

R1(config-if)#exit

R1(config)#crypto isakmp keepalive 30 3

如果需要遂传某些网段，把这些网段的访问控制列表写出来，在crypto isakmp client configuration group ccie模式下调用即可，它将自动推送到客户端。

客户端：

R2:

crypto ipsec client ezvpn jj

connect auto

mode client