outlan-rt04(config)#crypto isakmp client configuration
group outlan-ras
outlan-rt04(config-isakmp-group)# key outlan-ras
outlan-rt04(config-isakmp-group)# dns 172.30.40.2
outlan-rt04(config-isakmp-group)# domain outlan-ras.net
outlan-rt04(config-isakmp-group)# pool outlan-ras
outlan-rt04(config-isakmp-group)# acl outlan-ras-networks
outlan-rt04(config-isakmp-group)#exit
outlan-rt04(config)#
crypto isakmp client configuration group outlan-ras
key outlan-ras
dns 172.30.40.2
domain outlan-ras.net
pool outlan-ras
acl outlan-ras-networks
一旦客户端组定义完成后,我们就需要创建IP地址池:
outlan-rt04(config)#ip local pool outlan-ras 172.30.99.10 172.30.99.100
The final step is the client access policy ACL:
outlan-rt04(config)#ip access-list extended outlan-ras-networks
outlan-rt04(config-ext-nacl)# permit ip 172.30.40.0 0.0.0.255 172.30.99.0 0.0.0.255
技术上说我们的ISAKMP VPN客户端支持配置已经完成了。然而,如果我们想要扩展我们的VPN客户端以支持连接到其它安全的主机上,我们需要配置Cisco Tunnel Control Protocol。NAT透明默认是激活的,所以激活cTCP要求更多的全局加密配置命令<cyrpto ctcp port {(listener port 1-65535), port, port}>。这个命令的端口设置是可选的,可以设置一个端口或都不设置或者设置一个监听端口列表。如果没有设置端口,cTCP会监听端口10000。下面是监听HTTP、HTTPS和默认cTCP服务端口的cTCP配置:
outlan-rt04(config)#crypto ctcp port 443 80 10000
必须记住的一点是,当配置cTCP时,如果路由器正在运行着一个HTTP或HTTPS后台程序,IKE服务和HTTP/HTTPS服务是不能在同一个路由器接口运行的。下面是完成的ISAKMP客户端配置:
!
crypto isakmp policy 1000
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 20 5
crypto isakmp nat keepalive 30
!
crypto isakmp client configuration group outlan-ras
key outlan-ras
dns 172.30.40.2
domain outlan-ras.net
pool outlan-ras
acl outlan-ras-networks
!
crypto ctcp port 443 80 10000
!
ip local pool outlan-ras 172.30.99.10 172.30.99.100
!
ip access-list extended outlan-ras-networks
permit ip 172.30.40.0 0.0.0.255 172.30.99.0 0.0.0.255
这个过程的下一步就是生成和交换预共享的RSA密钥。
