Настройка VPN, Cервер – роутер Cisco, клиент – Cisco VPN client (Easy VPN, EZVPN)
В данной статье описана настройка VPN для доступа из интернет в локальную сеть компании с сохранением возможности для пользователя одновременно работать в интернет (split tunnel). В качестве сервера выступает маршрутизатор Cisco, в качестве клиента бесплатное ПО Cisco VPN Client (скачивается с сайта Cisco.com, или берется из комплекта ПО поставляемого с любым устройством Cisco поддерживающим настройку VPN). По традиции, перечень команд которые нужно ввести (просто скопируйте этот в текстовый редактор, подправьте IP адреса и CTRL-C, CTRL-V в режиме конфигурирования)
username vpnuser password 123456
ip local pool vpnpool 192.168.1.1 192.168.1.254
access-list 150 permit ip 10.1.1.0 0.0.0.255 anyaccess-list FOR_NAT denyt ip 10.1.1.0 0.0.0.255 any
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local vpnpool
crypto isakmp client configuration group hw-client-groupname
key key123
dns 10.1.1.1
wins 10.1.1.2
domain test.test
pool vpnpool
acl 150crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmapinterface Ethernet0/0
crypto map dynmap
Рис.1 Создаваемое решение.
Итого , что нам необходимо настроить ?
Нам необходимо задать пользователя VPN и его пароль (мы можем завести таких много)
username vpnuser password 123456
Необходимо указать какие IP адреса будут задаваться сервером VPN подключаемым VPN клиентам
ip local pool vpnpool 192.168.1.1 192.168.1.254
Необходимо указать трафик который будет шифроваться (из адресов в нашей локальной сети которые должны быть доступны по VPN до VPN клиента и обратно – Это и есть SPLIT tunneling? который позволяет пользователю со своего компьютера напрумую связываться с интернет серверами, без включения этой опции ВЕСЬ трафик VPN клиента отправлялся бы на VPN сервер, и зачастую там бы и пропадал не доходя до интернет)
access-list 150 permit ip 10.1.1.0 0.0.0.255 any
Необходимо указать параметры которые будут передаваться VPN клиенту при подключении
crypto isakmp client configuration group hw-client-groupname
key key123
dns 10.1.1.1
wins 10.1.1.2
domain test.test
pool vpnpool
acl 150
Необходимо задать параметры VPN сервера (используемое шифрование , Ключ аутентификации VPN клиента и т.д )
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local vpnpoolcrypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
Необходимо указать, что трафик по VPN не должен проходить процедуру NAT
access-list FOR_NAT denyt ip 10.1.1.0 0.0.0.255 any
То есть, нам нужно в access-list который используется у нас для настройки NAT включить строку deny с нашими ip адресами.
Необходимо привязать к внешнему интерфейсу маршрутизатора cryptomap (“Включить VPN сервер” )
interface Ethernet0/0
crypto map dynmap
Все. Настраиваем VPN клиента. Сделать это можно в соответствии с инструкцией по адресу (на английском языке)
Там же, можно узнать про команду тестирования и траблшутинга VPN соединений.
Вы можете также посмотреть как настроить самый простейший VPN сервер на маршрутизаторе Cisco с использованием встроенного в windows “удаленного подключения” в качестве клиента
Спасибо за труды. Но результат 15 минут сочинений пропал при отправке формы – “неправильный код”(забыл ctrl-c сделать) обидно, поэтому теперь кратко.
1. Какой айпи будет у клиента? Как организована связь на уровне маршрутов?
2.
>>Необходимо указать, что трафик по VPN не должен проходить процедуру NAT
>>access-list FOR_NAT deny ip 10.1.1.0 0.0.0.255 any
>>То есть, нам нужно в access-list который используется у нас для настройки NAT включить строку deny с нашими ip адресами.
Этим правилом мы запрещаем NAT для всех направлений из сети 10.1.1.0/24.
Интернет в том числе. При организации peer-to-peer соединений между офисами из NAT вырезаются пакеты на конкретные адреса, здесь же – все.
3. Будет ли этот метод работать без ааа модели?
Интуитивно я как бы догадываюсь как ответить на эти вопросы, но хотелось бы услышать от автора.
Из пожеланий: чуть подробнее описать вводимые команды и то, что получим на выходе, схему сети и прочее.
Спасибо за внимание.
спасибо за коммент, пока быстрый ответ, завтра постараюсь исправить пост с соотвествиии с пожеланиями, также думаю и систему антиспама сделаю проще
ip клиенту задается командой
ip local pool vpnpool 192.168.1.1 192.168.1.254
соответственно, первый подключившися получит адрес 192.168.1.1
Стоят два Сisco 851:один vpn server другой vpn client с pppoe.Vpn работает а интернет с vpn clienta не выходит конфиги прилогаю.
это клиент
Building configuration…
Current configuration : 5548 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-3722672125
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3722672125
revocation-check none
rsakeypair TP-self-signed-3722672125
!
!
crypto pki certificate chain TP-self-signed-3722672125
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33373232 36373231 3235301E 170D3039 30323035 31313235
34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 37323236
37323132 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E505 D6E336CE 730779BC 31461B6E A07FCCDB 1F588EA1 B6190C17 2CCAC735
13E749FF 51A39640 29D5987F 9E3F1724 C67F9BCE 5CDD074F 182D26FC 4F4A32CC
1C6D5CFE 3CE49EAF 8156FFE7 1C6E242D 71BCC619 1BBD2D81 C34A82D8 5CE9350B
A2F67137 C65EAFB8 D03D0CF3 A036EE15 552BCCFA 5B486A56 11523C00 2794CB6B
94330203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 14AB6A30 8A77F0F2 03510B7D 841C74F1 E57BACA6
6D301D06 03551D0E 04160414 AB6A308A 77F0F203 510B7D84 1C74F1E5 7BACA66D
300D0609 2A864886 F70D0101 04050003 81810031 2243A66A E1944470 754CBC29
73FB7E8A D0EF1771 061436A1 17C55D2B 02A06D21 FE7F2DEB 8930A5EC 6ABC6DC8
532C9CE3 7D124A88 C5DA9491 9D8C5DAA 89926528 5A680E1B 06EE9689 7C181471
3E1DBB96 A5C06C37 372B7D9D CB420F2F 3A56A437 5424400A D9BD6F1F 1E16A46E
B20B3204 6A994393 FA9FDADA 149B73F5 9445AF
quit
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
ip domain name yourdomain.com
ip name-server 85.172.0.250
ip name-server 83.239.0.202
!
vpdn enable
!
vpdn-group 1
l2tp tunnel receive-window 128
!
!
!
username xxx privilege 15 secret 5 xxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group pir key pir
mode network-extension
peer xx.xx.xxx.165
virtual-interface 2
username xxxxxxx password xxxxxxxxxxxxx
xauth userid mode local
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template2 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip mask-reply
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname gfu3jke6nq
ppp chap password 0 p4fP6h6f5
ppp pap sent-username xxxxxxxxx password 0 xxxxxxxxx
ppp ipcp dns request
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
ip access-list extended nonat
remark SDM_ACL Category=16
permit ip host 10.10.10.2 any
permit ip host 10.10.10.3 any
permit ip host 10.10.10.4 any
permit ip host 10.10.10.5 any
permit ip host 10.10.10.6 any
permit ip host 10.10.10.7 any
permit ip host 10.10.10.8 any
!
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.10.10.0 0.0.0.7 10.0.0.0 0.255.255.255
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address nonat
!
!
control-plane
!
banner login ^CCC
———————————————————————–
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username “cisco”
with the password “cisco”. The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username privilege 15 secret 0
no username cisco
Replace and with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
———————————————————————–
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end
а это сервер
Building configuration…
Current configuration : 5756 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
aaa authorization network sdm_vpn_group_ml_3 local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-2459858122
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2459858122
revocation-check none
rsakeypair TP-self-signed-2459858122
!
!
crypto pki certificate chain TP-self-signed-2459858122
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32343539 38353831 3232301E 170D3032 30333031 30303036
34355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 34353938
35383132 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BB02 F0379859 59EF8B00 CEF626EF 5319E536 0D7F9503 37B1ABC3 3F0F3AA9
A6FBDB01 197325A9 67F9C35E 537C9552 AFB867B8 F0875718 63464383 4F04A531
1391647E 7F8EB6DD 0868D500 A7FA5F20 43333BD1 23E3EF0B 81CC8470 81A846BB
FAD93F88 B6597E67 0023896A B39D8535 8AD2794B D61A155F 404419E3 454C49AB
7FFF0203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 1447C723 4DBA21CC 825B34C5 75A8029B A4FCF160
3F301D06 03551D0E 04160414 47C7234D BA21CC82 5B34C575 A8029BA4 FCF1603F
300D0609 2A864886 F70D0101 04050003 818100B0 0D9C00FE 6C96DC76 2F49AC88
BE1F2E3B 7C2F820C F6344300 CE6FD61F 898C888E F263A35D F2F181E3 312566C1
A6310A8F C9B4B046 D48E7AA1 B284B259 6955754B D02308C9 597E637D 17654408
B8E755A9 C272D74D 287CD974 0F029F86 DBE2BC58 96AC8CBB FF27A08D 175265BC
34E32E97 B2183A6F 806C40F2 E6C20943 C792D3
quit
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
ip domain name yourdomain.com
ip name-server 81.26.129.5
ip name-server 81.26.132.6
!
!
!
username pir privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxx
username pirmosc secret 5 xxxxxxxxxxxxxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 5
group 2
crypto isakmp key pir address xx.xxx.xxx.237
!
crypto isakmp client configuration group pir
key pir
crypto isakmp profile sdm-ike-profile-1
match identity group pir
client authentication list sdm_vpn_xauth_ml_3
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 4
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA3
set isakmp-profile sdm-ike-profile-1
!
!
crypto ctcp port 10000
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-LAN$
ip address xx.xx.xxx.165 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Virtual-Template4 type tunnel
ip unnumbered FastEthernet4
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended nonat
remark SDM_ACL Category=18
permit ip host 10.10.10.2 any
!
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.10.10.0 0.0.0.7 10.0.0.0 0.255.255.255
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address nonat
!
!
control-plane
!
banner login ^CC
———————————————————————–
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username “cisco”
with the password “cisco”. The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username privilege 15 secret 0
no username cisco
Replace and with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
———————————————————————–
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end
заранее спасибо за совет
очень трудно понять чего вы хотите сделать.
совет следующий
1) нарисуйте схему того как должен ходить трафик, что в туннель, что в интернет и как.
3) сделайте выжимку из конфигов, убрав все лишнее, ну хотя бы уберите баннер тексты (вам нужно оставить настройки интерфейсов, ACL, nat)
2) посмотрите правильность настройки nat
клиент:
vpdn enable
!
vpdn-group 1
l2tp tunnel receive-window 128
!
!
!
username xxx privilege 15 secret 5 xxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group pir key pir
mode network-extension
peer xx.xx.xxx.165
virtual-interface 2
username xxxxxxx password xxxxxxxxxxxxx
xauth userid mode local
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template2 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip mask-reply
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname gfu3jke6nq
ppp chap password 0 p4fP6h6f5
ppp pap sent-username xxxxxxxxx password 0 xxxxxxxxx
ppp ipcp dns request
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
ip access-list extended nonat
remark SDM_ACL Category=16
permit ip host 10.10.10.2 any
permit ip host 10.10.10.3 any
permit ip host 10.10.10.4 any
permit ip host 10.10.10.5 any
permit ip host 10.10.10.6 any
permit ip host 10.10.10.7 any
permit ip host 10.10.10.8 any
!
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.10.10.0 0.0.0.7 10.0.0.0 0.255.255.255
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address nonat
!
!
control-plane
!
banner login ^CCC
сервер:
quit
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
ip domain name yourdomain.com
ip name-server 81.26.129.5
ip name-server 81.26.132.6
!
!
!
username pir privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxx
username pirmosc secret 5 xxxxxxxxxxxxxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 5
group 2
crypto isakmp key pir address xx.xxx.xxx.237
!
crypto isakmp client configuration group pir
key pir
crypto isakmp profile sdm-ike-profile-1
match identity group pir
client authentication list sdm_vpn_xauth_ml_3
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 4
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA3
set isakmp-profile sdm-ike-profile-1
!
!
crypto ctcp port 10000
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-LAN$
ip address xx.xx.xxx.165 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Virtual-Template4 type tunnel
ip unnumbered FastEthernet4
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended nonat
remark SDM_ACL Category=18
permit ip host 10.10.10.2 any
!
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.10.10.0 0.0.0.7 10.0.0.0 0.255.255.255
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address nonat
!
!
control-plane
!
banner login ^CC
http://smages.com/9f/14/9f147e8f1b77a0079467dc4d9dbc87df.jpg.htm
кАРТИНКА СЕТИ