资料下载

思科VPN客户端辽宁十一选五走势图一百期-IOS路由器的设置

由管理员撰写。发表于 思科路由器-辽宁十一选五走势图一百期思科路由器

4.2244897959184 1 1 1 1 1 评分4.22(49投票)
压住他

远程VPN访问是Cisco路由器和ASA防火墙中非常流行的服务。事实证明,可以从世界任何地方远程访问我们的公司网络及其资源的灵活性非常有用,并且在许多情况下是不可替代的。只需快速的Internet连接和您的用户凭据即可登录-其余的一切都由您的Cisco路由器或防火墙设备负责。

要启动连接,我们使用可用于Windows操作系统(XP,Vista,Windows 7-32)的Cisco 虚拟专用网客户端。&64位),Linux,Mac OS X10.4&10.5和Solaris UltraSPARC(32&64位),从而使其可以为全球大多数用户广泛使用。思科VPN客户端可从我们的网站下载 思科下载 部分。

思科VPN还引入了“拆分隧道”的概念。拆分隧道是一项功能,它允许远程VPN客户端访问公司的LAN,但同时可以上网。在此设置中,只有发往公司LAN的流量才通过VPN隧道发送(加密),而所有其他流量(Internet)都按正常路由,就像用户未连接到公司VPN一样。

一些公司有严格的政策,不允许远程VPN客户端在连接到公司网络时访问Internet(禁用拆分隧道),而另一些公司则允许通过VPN隧道限制访问Internet(罕见)!在这种情况下,所有流量都会通过VPN传输,通常会有一个Web代理,它将为远程客户端提供受限的Internet访问。

综上所述,拆分隧道是当今Cisco 虚拟专用网辽宁十一选五走势图一百期中最常见的辽宁十一选五走势图一百期,但是出于教育目的,我们将介绍所有方法。

设置Cisco路由器以接受远程Cisco 虚拟专用网客户端并不是一项非常困难的任务。按照本文中显示的每个步骤进行操作,可以确保它可以正常工作。

下面是公司网络的典型示意图,该公司网络为远程用户提供VPN访问以访问公司的网络资源。

建立的VPN是IPSec安全隧道,并且使用辽宁十一选五走势图一百期的加密算法对所有流量进行加密:

tk-思科路由器-vpnclient-1

需要限制VPN用户访问第4层服务(例如www,smtp,在特定内部主机(例如Web /电子邮件服务器)上弹出)的工程师和管理员,请阅读我们的 如何将Cisco IOS路由器VPN客户端限制为第4层(TCP,UDP)服务-应用IP,TCP& UDP Access Lists 文章。

就凭据而言,Cisco IPSec 虚拟专用网具有两个级别的保护。远程客户端必须具有有效的组身份验证凭据,后跟有效的用户凭据。

一次输入组凭据并将其存储在VPN连接条目中,但是,每次建立连接时都不会存储和请求用户凭据:

tk-思科路由器-vpnclient-2

我们应注意,将路由器辽宁十一选五走势图一百期为支持点对点隧道协议VPN(PPTP)是一种替代方法,该方法已在我们的 思科PPTP路由器辽宁十一选五走势图一百期 但是,PPTP 虚拟专用网是一种较旧的,安全性较低,灵活性较差的解决方案。我们强烈建议仅使用Cisco IPSec 虚拟专用网。

为了辽宁十一选五走势图一百期Cisco IPSec 虚拟专用网客户端支持,路由器必须至少运行“高级安全性” IOS,否则后面的大多数命令在CLI提示符下将不可用!

首先,我们需要启用路由器的“ aaa模型”,该模型代表“身份验证,授权和计费”。 AAA提供了一种方法,用于识别登录到路由器并可以访问服务器或其他资源的用户。

AAA还标识已授予每个用户的访问级别,并监视用户活动以生成记帐信息。

我们先启用“ aaa新模型”服务,再启用X-Auth进行用户身份验证,然后再进行组身份验证(网络vpn_group_ml_1):

R1# 辽宁十一选五走势图一百期终端
R1(辽宁十一选五走势图一百期)# aaa新模型
R1(辽宁十一选五走势图一百期)# aaa身份验证登录默认本地
R1(辽宁十一选五走势图一百期)# aaa身份验证登录vpn_xauth_ml_1本地
R1(辽宁十一选五走势图一百期)# aaa身份验证登录sslvpn本地
R1(辽宁十一选五走势图一百期)# aaa授权网络vpn_group_ml_1本地
R1(辽宁十一选五走势图一百期)# aaa session-id common

尝试建立IPSec隧道时,有两个主要阶段的协商,其中远程客户端与Cisco 虚拟专用网路由器协商安全策略和加密方法。

现在,我们创建将提供给我们的远程用户的用户帐户。每次他们尝试连接到我们的VPN时,都将要求他们输入以下信息:

R1(辽宁十一选五走势图一百期)# 用户名管理员秘密$ cisco $ firewall
R1(辽宁十一选五走势图一百期)# 用户名firewallcx秘密$ fir3w @ ll!

接下来,我们为阶段1协商创建Internet安全关联和密钥管理协议(ISAKMP)策略。在此示例中,我们创建了两个ISAKMP策略,并辽宁十一选五走势图一百期了加密(encr),身份验证方法,哈希算法并设置了Diffie-Hellman组:

R1(辽宁十一选五走势图一百期)# crypto isakmp策略1
R1(config-isakmp)# 加密3des
R1(config-isakmp)# 验证预共享
R1(config-isakmp)# 2组
R1(config-isakmp)#
R1(config-isakmp)#crypto isakmp策略2
R1(config-isakmp)# 加密3des
R1(config-isakmp)# 哈希md5
R1(config-isakmp)# 验证预共享
R1(config-isakmp)# 2组
R1(config-isakmp)# 出口

现在,我们创建一个组并根据需要辽宁十一选五走势图一百期DNS服务器和其他参数。成功向组进行身份验证后,会将这些参数传递给客户端:

R1(辽宁十一选五走势图一百期)# crypto isakmp客户端辽宁十一选五走势图一百期组CCLIENT-VPN
R1(config-isakmp-group)# 关键防火墙
R1(config-isakmp-group)# 域名解析 10.0.0.10
R1(config-isakmp-group)# 池VPN池
R1(config-isakmp-group)# ACL 120
R1(config-isakmp-group)# 最大用户数5
R1(config-isakmp-group)# 出口
R1(辽宁十一选五走势图一百期)# ip本地池VPN-池192.168.0.20 192.168.0.25

上面的辽宁十一选五走势图一百期用于“客户端虚拟专用网'具有预共享密钥(先前辽宁十一选五走势图一百期的身份验证方法)为'的组防火墙'。对此群组进行身份验证的用户将拥有 域名解析 设置 10.0.0.10。最多 5个用户 允许同时连接到该组,并将有权访问由以下人员管理的资源 访问列表120.

最后,向该组进行身份验证的用户将从名为“虚拟专用网池'提供IP地址范围: 192.168.0.20 取决于 192.168.0.25.

接下来将创建第二阶段策略。这是用于实际数据加密的&IPSec阶段2验证:

R1(辽宁十一选五走势图一百期)# 加密ipsec转换集加密方法1 esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#

名为“加密方法1然后将“应用于”名为“虚拟专用网辽宁十一选五走势图一百期文件1':

R1(辽宁十一选五走势图一百期)# 加密ipsec辽宁十一选五走势图一百期文件VPN-Profile-1
R1(ipsec辽宁十一选五走势图一百期文件)# 设置变换集加密方法1

 

请注意我们的IPSec加密隧道的加密和认证方法,如连接到具有上述辽宁十一选五走势图一百期的路由器的VPN客户端所示:

tk-思科路由器-vpnclient-3

现在是时候通过创建一个虚拟模板接口将以上所有内容绑定在一起了,该模板将充当传入VPN客户端的“虚拟接口”。远程VPN客户端将获得属于我们内部网络的IP地址(请参见上图-192.168.0.x / 24),因此我们不需要此虚拟接口具有ip地址并将其辽宁十一选五走势图一百期为“ip未编号在我们路由器的LAN接口上的接口。

将接口设置为无编号ip可以通过它进行IP处理,而无需分配明确的IP地址,但是必须将其绑定到辽宁十一选五走势图一百期了IP地址的物理接口,通常是LAN接口:

R1(辽宁十一选五走势图一百期)# 接口Virtual-Template2类型的隧道
R1(config-if)# ip无编号FastEthernet0 / 0
R1(config-if)# 隧道模式ipsec ipv4
R1(config-if)# 隧道保护ipsec辽宁十一选五走势图一百期文件VPN-Profile-1

上方,我们的虚拟模板还通过“ipsec辽宁十一选五走势图一百期文件VPN-Profile-1'将转换方法设置为'的命令加密方法1'(检查先前的辽宁十一选五走势图一百期块),其反过来等于'esp-3des esp-sha-hmac'。

注意Cisco的CLI辽宁十一选五走势图一百期如何遵循逻辑结构。您辽宁十一选五走势图一百期特定的参数,然后在辽宁十一选五走势图一百期的其他部分中使用这些参数。如果工程师理解了此逻辑,那么解码任何给定的Cisco辽宁十一选五走势图一百期就变得容易了。

到目前为止,我们已经启用了身份验证机制(aaa),创建了ISAKMP策略,创建了VPN组并设置了其参数,辽宁十一选五走势图一百期了加密方法(转换集)并将其绑定到远程VPN用户将连接到的虚拟模板。

第二步是创建最后一个ISAKMP辽宁十一选五走势图一百期文件以将VPN组与虚拟模板连接:

R1(辽宁十一选五走势图一百期)# crypto isakmp辽宁十一选五走势图一百期文件vpn-ike-profile-1
R1(conf-isa-prof)# 匹配身份组CCLIENT-VPN
R1(conf-isa-prof)# 客户端身份验证列表vpn_xauth_ml_1
R1(conf-isa-prof)# isakmp授权列表vpn_group_ml_1
R1(conf-isa-prof)# 客户端辽宁十一选五走势图一百期地址响应
R1(conf-isa-prof)# 虚拟模板2

最后一步是创建访问列表,该列表将控制VPN隧道的传输,从而有效地控制VPN用户能够远程访问的内容。

完成此操作后,我们需要添加“ no NAT”语句,以便使用其专用IP地址保留离开路由器并流向VPN用户的流量,否则将对路由器通过隧道发送的数据包进行NAT,因此被远程VPN客户端拒绝。

通过VPN隧道启用NAT时,远程用户会看到隧道流量来自路由器的公共IP地址,而实际上它应该来自路由器的私有IP地址。

我们假定使用以下标准NAT辽宁十一选五走势图一百期来提供对公司LAN网络的Internet访问:

R1#显示运行辽宁十一选五走势图一百期
<输出省略>
源列表100接口Dialer1重载内的ip nat
访问列表100备注-= [Internet NAT服务] =-
访问列表100许可ip 192.168.0.0 0.0.0.255任何
访问列表100备注

基于上述内容,我们继续进行辽宁十一选五走势图一百期。首先,我们需要限制对远程VPN用户的访问,以便他们只能访问IP地址为192.168.0.6(访问列表120), 然后我们 拒绝NAT (访问列表100)到我们的远程VPN池IP范围:

R1(辽宁十一选五走势图一百期)# 访问列表120备注== [Cisco 虚拟专用网用户] ==
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip主机192.168.0.6主机192.168.0.25

R1(辽宁十一选五走势图一百期)# 无访问权限列表100
R1(辽宁十一选五走势图一百期)# 访问列表100备注[VPN客户端拒绝NAT] =-
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)# 访问列表100备注
R1(辽宁十一选五走势图一百期)# 访问列表100备注-= [Internet NAT服务] =-
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 192.168.0.0 0.0.0.255任何

请注意 访问列表100,我们要么拒绝IP主机192.168.0.6或我们的远程客户端,如图所示, 拒绝192.168.0.0/24网络。有什么不同?几乎没有。拒绝整个网络向远程客户端提供的NAT服务,将使将来的添加变得更加容易。

例如,如果需要拒绝另外5台服务器的NAT,以便它们可以到达远程VPN客户端,则需要编辑访问列表100以包括这些新主机,而现在已经在其中进行了处理。记住,用 访问列表100 我们只是在控制NAT功能,而不是远程客户端具有的访问权限( 访问列表120 在我们的例子中。

至此,Cisco 虚拟专用网辽宁十一选五走势图一百期已完成且功能齐全。

分割隧道

我们在本文开头提到,我们将介绍VPN客户端的拆分隧道和完整隧道方法。您会很高兴地知道此功能完全由该组的访问列表决定,我们的情况就是访问列表120。

如果我们想将所有流量从VPN客户端传送到我们的网络,则可以使用以下内容 访问列表120 组态:

R1(辽宁十一选五走势图一百期)# 访问列表120备注== [Cisco 虚拟专用网用户] ==
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表120允许ip任何主机192.168.0.25

在另一个示例中,如果我们想让我们的VPN客户端访问网络10.0.0.0/24、10.10.10.0/24&192.168.0.0/24,这就是访问列表120的外观(这种情况也需要修改NAT访问列表100):

R1(辽宁十一选五走势图一百期)# 访问列表120备注== [Cisco 虚拟专用网用户] ==
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 无访问权限列表100
R1(辽宁十一选五走势图一百期)# 访问列表100备注[VPN客户端拒绝NAT] =-
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.0.0.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝ip 10.0.0.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.0.0.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.0.0.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.0.0.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.0.0.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 10.10.10.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.20
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.21
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.22
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.23
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.24
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255主机192.168.0.25
R1(辽宁十一选五走势图一百期)# 访问列表100备注
R1(辽宁十一选五走势图一百期)# 访问列表100备注-= [Internet NAT服务] =-
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.0.0.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.10.10.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 192.168.0.0 0.0.0.255任何

 

当VPN客户端连接时,我们应该查看连接的统计信息,我们会在安全路由下看到3个网络,这表明流向这些网络的所有流量都通过VPN隧道传输:

tk-思科路由器-vpnclient-4

 

思科VPN辽宁十一选五走势图一百期技巧

需要限制VPN用户访问第4层服务(例如www,smtp,在特定内部主机(例如Web /电子邮件服务器)上弹出)的工程师和管理员,请阅读我们的 如何将Cisco IOS路由器VPN客户端限制为第4层(TCP,UDP)服务-应用IP,TCP& UDP Access Lists 文章。

从我们的3个网络隧道的最后一个例子可以明显看出,如果我们的VPN IP地址池更大,例如50个IP地址,那么我们只需要输入50个IP x 3个网络= 150行代码即可访问列表120,再加上150行访问列表100(无NAT)!这确实是一项艰巨的任务!

为了将辽宁十一选五走势图一百期减少到几行,这是将使用的具有相同效果的替代代码:

将VPN流量标记为通过隧道传输:

R1(辽宁十一选五走势图一百期)# 访问列表120备注== [Cisco 虚拟专用网用户] ==
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255

不要对从我们的LAN到VPN客户端的任何流量进行NAT,而要对发往Internet的所有其他内容进行NAT:

R1(辽宁十一选五走势图一百期)# 访问列表100备注[VPN客户端拒绝NAT] =-
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝ip 10.10.10.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100备注
R1(辽宁十一选五走势图一百期)# 访问列表100备注-= [Internet NAT服务] =-
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.0.0.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.10.10.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 192.168.0.0 0.0.0.255任何

访问列表120告诉路由器将来自三个网络的所有流量隧道传输到我们的VPN客户端,这些客户端的IP地址将在192.168.0.0/24范围内!

因此,如果VPN客户端从VPN池接收到IP地址为192.168.0.23或192.168.0.49的VPN客户端,则与“192.168.0.0 0.0.0.255每个访问列表120末尾的语句覆盖了192.168.0.23&192.168.0.49。甚至替换“192.168.0.0 0.0.0.255' 与“任何'语句将具有相同的效果。

对于控制NAT服务的“访问列表100”,我们不能使用“任何在ACL的DENY部分的末尾添加'语句,因为它将排除所有网络(公共和私有)的NAT,因此完全禁用NAT,从而禁用Internet访问。

最后一点,如果要求为VPN客户端提供的IP地址范围与内部网络的IP地址范围不同(例如192.168.50.0/24),则必须对辽宁十一选五走势图一百期进行以下较小更改:

R1(辽宁十一选五走势图一百期)# crypto isakmp客户端辽宁十一选五走势图一百期组CCLIENT-VPN
R1(config-isakmp-group)# 关键防火墙
R1(config-isakmp-group)# 域名解析 10.0.0.10
R1(config-isakmp-group)# 池VPN池
R1(config-isakmp-group)# ACL 120
R1(config-isakmp-group)# 最大用户数5
R1(config-isakmp-group)# 出口
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# ip本地池VPN-池192.168.50.10 192.168.50.25
R1(辽宁十一选五走势图一百期)#
R1(辽宁十一选五走势图一百期)# 接口Virtual-Template2类型的隧道
R1(config-if)# IP地址192.168.50.1 255.255.255.0
R1(config-if)# 隧道模式ipsec ipv4
R1(config-if)# 隧道保护ipsec辽宁十一选五走势图一百期文件VPN-Profile-1

 

假设3个内部网络

将VPN流量标记为通过隧道传输:

R1(辽宁十一选五走势图一百期)# 访问列表120备注== [Cisco 虚拟专用网用户] ==
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表120许可ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255



不要对从我们的LAN到VPN客户端的任何流量进行NAT,而要对发往Internet的所有其他内容进行NAT:

R1(辽宁十一选五走势图一百期)# 访问列表100备注[VPN客户端拒绝NAT] =-
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝ip 10.0.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝ip 10.10.10.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100拒绝IP 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.255
R1(辽宁十一选五走势图一百期)# 访问列表100备注
R1(辽宁十一选五走势图一百期)# 访问列表100备注-= [Internet NAT服务] =-
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.0.0.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 10.10.10.0 0.0.0.255任何
R1(辽宁十一选五走势图一百期)# 访问列表100许可ip 192.168.0.0 0.0.0.255任何

 

文章摘要

本文介绍了Cisco 虚拟专用网客户端的基本原理及其所提供的功能,以允许用户从世界任何地方远程安全地连接到其公司网络。

我们检查了Cisco路由器上设置和辽宁十一选五走势图一百期它以接受Cisco 虚拟专用网客户端连接所需的必要步骤和命令。提供了每个辽宁十一选五走势图一百期步骤的详细说明,以及必要的图表和屏幕截图。

解释并涵盖了拆分隧道,它显示了如何辽宁十一选五走势图一百期Cisco 虚拟专用网客户端仅访问所需的内部网络,同时又保持对Internet的访问。

最后,提出了一些技巧,以帮助简化大型和复杂网络的Cisco 虚拟专用网辽宁十一选五走势图一百期。

如果您发现这篇文章有用,我们将非常感谢您使用本文左上角提供的服务与他人分享。共享我们的文章仅需您一分钟的时间,可帮助Firewall.cx通过此类服务吸引更多人。

 返回思科路由器部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec辽宁十一选五走势图一百期
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置