***网络在现在企业中的应用范围越来越广，根据用户需求，今天配置了一个ipsec ***网络，主要是便于移动办公人员便利的接入企业网络，提供CRM服务。

1、设备为cisco2811+K9（IOS）

2、客户端安装CISCO ××× CLIENT5.0版本

3、用户接入企业网后，本地上网业务中断，确保不会受到外网威胁。

cisco2811配置：

Current configuration : 2447 bytes

!

aaa new-model

!

!

aaa authentication login userauth local

aaa authorization network groupauth local 

!         

!

aaa session-id common

username adminhzg privilege 15 password 0 xxxxxxxxxxxxxxxx

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

!

crypto isakmp client configuration group 1234

 key 1234

 pool users

 max-users 50

!

crypto isakmp client configuration group 4567

 key 4567

 pool supper

 max-users 20

!         

!

crypto ipsec transform-set SDM_TRANSFORMSET_1 esp-3des esp-sha-hmac 

!

crypto dynamic-map dyna01 5

 set transform-set SDM_TRANSFORMSET_1 

!

!

crypto map mymap client authentication list userauth

crypto map mymap isakmp authorization list groupauth

crypto map mymap client configuration address respond

crypto map mymap 10 ipsec-isakmp dynamic dyna01 

 

interface FastEthernet0/0

 description connet to firewall  535

 ip address 10.1.1.254 255.255.255.0

//* 定义了私有地址

  crypto map mymap

!

interface FastEthernet0/1

 ip address 10.0.199.2 255.255.255.0

//* 内网接口

 duplex auto

 speed auto

!

ip local pool users 172.25.100.1 172.25.100.60

//*两个地址池

ip local pool supper 172.25.101.1 172.25.101.20

 

 

上述配置没有考虑nat问题，在后续博文中会写道在NAT网络环境中如何通过route-map配置来实现IPSEC ×××的连接。