EzVPN Client　完整配置

EzVPN client可分为硬件客户端（路由器或VPN 3000作客户端），软件客户端（PC中运行客户端软件），不管是那种情况，在客户端需要的配置非常少，主要配置在服务器端。VPN无法建立起来的原因很多，比如路由，NAT，地址池，验证等等，如果在实验环境中可以通过3个debug命令去发现问题：debug crypto isakmp、debug crypto engine、debug crypto ipsec，而这里以路由器分别作客户端和服务器，完整配置如下：

服务器：
第一步：配置XAUTH

R1(config)#aaa new-model
R1(config)#aaa authentication login ccxx local
R1(config)#username yjj password yjj
R1(config)#enable secret cisco
R1(config)#crypto map test client authentication list ccxx
R1(config)#crypto isakmp xauth timeout 30

第二步：建立IP地址池

R1(config)#ip local pool p1 100.1.1.100 100.1.1.200

第三步：配置组策略查找
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#exit

第四步：为MC推定义组策略

R1(config)#crypto isakmp client configuration group ccie
R1(config-isakmp-group)#key ccie
R1(config-isakmp-group)#dns 100.1.1.10 100.1.1.11
R1(config-isakmp-group)#wins 100.1.1.12 100.1.1.13
R1(config-isakmp-group)#domain yjj.com
R1(config-isakmp-group)#pool p1
R1(config-isakmp-group)#exit

第五步：建立变换集

R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit

第六步：用RRI建立动态加密映射

R1(config)#crypto dynamic-map dy 1
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#reverse-route
R1(config-crypto-map)#exit

第七步：将MC应用到动态映射

R1(config)#crypto map test client configuration address respond
R1(config)#crypto map test isakmp authorization list ccie
R1(config)#crypto map test 1 ipsec-isakmp dynamic dy

第八步：将动态加密映射应用到接口

R1(config)#int s0/0
R1(config-if)#crypto map test
R1(config-if)#exit

R1(config)#crypto isakmp keepalive 30 3

如果需要遂传某些网段，把这些网段的访问控制列表写出来，在crypto isakmp client configuration group ccie模式下调用即可，它将自动推送到客户端。

客户端：

R2:
crypto ipsec client ezvpn jj
connect auto
mode client

group ccie

key ccie
peer 10.1.1.1

interfac e0/0

crypto ipsec client ezvpn jj inside

interface s0/0
crypto ipsec client ezvpn jj  outside