试验说明；R1为SKY公司的网关，其F1/0接口连接互联网，用户现在出差在外，通过拨号连接到互联网上，现在希望实现用户通过internet拨号进入SKY公司的R1路由器上，拨号使用easy vpn，并能连接到SKY公司的内网，192.168.0.0/24 网段

　　需求拓扑：

　　　　图片看不清楚？请点击这里查看原图（大图）。

　　实验要求；

　　1，通过cisco vpn client 拨上R1，需要ping通R1的网关的地址，

　　2，VPN拨入成功之后，可以ping通 192.168.0.2，能访问内网服务器上的共享资源

　　实验过程：

　　第一步　 R1预配置

R1(config)#int f0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
//　 在本实验中PC机的IP地址是192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms
R1#

　　第二步　 配置认证策略

R1#conf t
R1(config)#aaa new-model
//　 激活AAA
R1(config)#aaa authorization network vpn-client-user local
//　 配置对远程接入IPSec连接的授权，组名为vpn-client-user

第三步　 定义用户的组策略
R1(config)#ip local pool VPNDHCP 192.168.0.100 192.168.0.150
//　 配置一个内部地址池，用于分配IP地址到远程接入的VPN客户端，在本实验中地址池的起始地址为192.168.0.100，终止的IP地址为192.168.0.150，在后面的组策略中会引用改地址池
R1(config)#crypto isakmp client configuration group vpn-client-user
//　 配置远程接入组，组名为vpn-client-user，此组名与aaa authorization network命令中的名称一致
R1(config-isakmp-group)#key norvel.com.cn
//　 配置IKE阶段1使用预共享密钥，密钥为norvel.com.cn
R1(config-isakmp-group)#pool VPNDHCP
//　 配置在客户端连接的Easy VPN client所分配的IP地址池
R1(config-isakmp-group)#dns 221.11.1.67
//　 给客户端分配DNS地址
R1(config-isakmp-group)#domain norvel.com.cn
//　 配置分配给客户端的DNS域名
R1(config-isakmp-group)#exit
R1(config)#