用CISCO VPN-Client4.01连接扩展验证-VPN-SERVER配置

不使用扩展验证方式配置见:www.mycisco.cn/post/170.Html

PC(10.0.0.1、网关10.0.0.254)-----------------（e0/0:10.0.0.254）ROUTER3620(lo0:172.16.0.1)

IOS版本c3620-ik9o3s7-mz.123-21.bin

Building configuration...

Current configuration : 1853 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service passWord-encryption
!
hostname vpnserver
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login xauthen local
!利用AAA配置扩展验证,由于没有AAA服务器,只调用了本地
aaa authorization network groupauthor local
!使用AAA服务器查找组策略,这里使用本地,这个本地组策略也可以不配,在后面的加密影射中,调用本地组策略名即可
aaa session-id common
ip subnet-zero
!
!
ip cef   
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
username lin password 0 cisco
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication PRe-share
 group 2 
!
!指定组策略属性,并进入组策略配置模式,这些配置会被push给客户端
crypto isakmp client configuration group clientgroup
 key cisco123
!假如客户段是靠preshared key来确定自己身份的话,那么这个KEY配置就是必须的,它可以和扩展验证里的不同
 dns 61.148.1.8
 wins 61.148.1.7
 pool ippool
!调用本地地址池,不同的组策略可以调用不同的本地地址池,它要和全局下配置的地址池名一致.
!
!
!培植IPSEC转换集
crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac
!
!配置动态影射摸班,调用转换集,因为不知道peer的IP地址,也不知道要match那些感爱好流,所以用动态加密影射.
crypto dynamic-map dynamicmap 1
 set transform-set ipsectrans
!
!
!下面开始将组策略模式配置和扩展验证应用到具体的加密影射上.
!
crypto map actmap client authentication list xauthen
!假如这里不用扩展验证,则可省略上面语句.
!下面这个语句是启用IKE的组策略查询,它将依靠于list后面的名称来查询AAA或者本地的组策略!
crypto map actmap isakmp authorization list groupauthor
!采用扩展组策略,假如不用扩展组策略则用下面这个语句使用本地手工配置的客户组,授权语句不可以省略,否则IKE协商过不去.!crypto map actmap isakmp authorization list clientgroup

软件配置:

建立新连接,注重的就是在新建的时候密码要填与客户组对应的密码,这里是cisco123.

然后连接,在连接过程中会额外再弹出一个要求输入用户名和密码的提示框,这时候输入AAA对应的,这里是lin,cisco.

http://www.cisco.com/en/US/prodUCts/sw/secursw/ps2308/products_configuration_example09186a00801c4246.shtml