基于SDM的Easy VPN配置实例
　　
　　Easy VPN的配置大部分工作都在VPN Server上完成，减轻了配置工作。在Cisco的设备中，比如，1800系列、2800系列和3800路由器系列，可以不使用命令的方式来完成配置。在这些新系列的设备上可以用SDM（思科路由器和安全设备管理器）软件来配置。
　　
    1．Cisco SDM
　　
　　 Cisco SDM 是一种直观且基于 Web 的设备管理工具，用来管理以 Cisco IOS？ 软件为基础的路由器。Cisco SDM 可通过智能向导简化路由器及安全配置过程，对于客户及 Cisco 合作伙伴而言，有了这些向导，不必对命令行接口（CLI）有专门的了解，就能快速便捷地部署、配置和监控 Cisco Systems路由器。
　　
　　SDM在设备上默认HTTPS管理IP是10.0.10.1。所以如果使用默认配置登录的话，一定要保证PC的地址在10.0.10.0网段。SDM的默认用户名是cisco，密码也是cisco 。
　　
　　SDM程序既可以安装在PC上，也可以安装在路由器上。安装在PC上能节约路由器的内存并且可以用它来管理其他支持SDM管理的路由器，但是这种模式下不能执行恢复默认的操作。安装到路由器时，基本安装需要大约4~5MB的Flash空间，Cisco SDM Express组件需要1.5MB的Flash空间，只用于路由器的初始化配置无须安装。　　

　　提示：

　　IE默认禁止网页访问本机资源，需要修改IE的安全设置。选择IE“工具”菜单，选择“Internet选项”，切换到“高级”选项卡，在“设置”里找到“允许活动内容在我的计算机上运行”，启用该功能；另外在“隐私”选项卡中取消“打开窗口阻止程序”选项。
　　
　　SDM下载地址为 http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm（需要CCO账号），下载并解压SDM－V21.zip，运行Setup程序即可进行SDM的安装。在安装SDM之前要求安装JRE 1.5，如果尚未安装，可以到Sun公司网站下载。
　　
　　将SDM安装到路由器之后，路由器必须进行以下配置才能支持SDM管理工具。
　　
　　　　ip http server       //允许HTTP登录
　　　　ip https server       //允许HTTPS登录
　　　　ip http authentication local     //指定本地认证
　　　　ip http timeout-policy idle idle-number life life-number request request-number   //修改Web接口超时参数
　　　　user username privilege 15 secret 0 secret   //必须是Secret，不可以用Password关键字
　　如果需要Telnet或者Ssh远程登录设备，则增加以下配置命令。
　　　　line vty 0 4   //路由器型号不同VTY的数量也不同
　　　　login local
　　　　transport input telnet ssh  //允许Telnet和Ssh
　　
　　如果以上步骤配置正确完整，则在IE中输入http://“路由器IP地址”，就可以开始使用SDM了。如果是第一次登录SDM，则提示修改默认用户名cisco ，以及默认密码cisco。

　　提示：

　　具体启用配置SDM软件的方法，请查阅产品随机手册和思科网站上的相关信息，相关资料。使用SDM配置VPN的前提是要能保证配置端可以通过HTTPS访问路由器的Web管理界面。值得庆幸的是SDM如今已经支持中文版本。
　　　　
    2．SDM配置Easy VPN的步骤

    3．下面介绍使用思科安全设备管理器（SDM）将Cisco路由器配置成Easy VPN Server。一旦思科路由器配置完成后，可以使用思科VPN客户端（Cisco Systems VPN Client）进行验证。
　　
　　第1步：从左侧主操作窗口选择Configure→VPN→Easy VPN Server，然后单击Launch Easy VPN Server Wizard，启动Easy VPN服务器向导。
　　
　　第2步：在弹出的对话框单击【Yes】按钮，这里提示如果对路由器配置Easy VPN Server需要启用AAA认证。请单击【Yes】按钮继续进行配置。

　　第3步：正式进入Easy VPN配置向导。

　　第4步：首先要求选择应用Easy VPN的接口，客户端连接终止及身份验证的方法，如图所示。

  图：启动VPN接口和认证类型

　　第5步：单击【下一步】按钮，将配置Internet密钥交换（IKE）的策略，单击【Add】按钮，添加新的策略，如图14-15所示。

　　提示：

　　配置VPN隧道的选项必须是双方匹配的。这里是针对“思科VPN客户端” 本身自动选择适当的配置。因此，有必要对客户端电脑配置IKE。

     第6步：单击【下一步】按钮，选择默认转换设置或添加新的转换加密和认证算法，如图14-16所示。单击【Add】按钮，添加转换算法设置。

　　第7步：添加一个新的验证、授权和记账策略，这里选择定义验证的方式为本地配置。

　　提示：

　　授权网络访问名单和组策略，这里可以查找或选择一个现有的本地和网络配置清单用做企业的VPN访问授权。　　

    第8步：选择用户认证数据库。可以在存储用户认证细节上选择一个外部服务器，如一个RADIUS服务器或本地数据库，或者两者同时启用。

　　第9步：在下图所示的对话框中，可以对本地数据库添加、编辑、复制或删除用户组策略。

  
图：选择对本地数据库的操作

　　第10步：添加一个隧道组，配置共享密钥用于认证信息。创建一个新的地址池或选择一个现有的地址池，用于VPN客户分配IP地址，如下图所示。

　　第11步：单击【OK】按钮，选择是否继续添加策略。

图：添加VPN客户端地址池和共享密钥

　　第12步：如果不需要配置选项，单击【下一步】按钮。

    第13步：SDM将上述配置复制到路由器，以更新运行的配置，单击【OK】按钮，完成Easy VPN配置。