CISCO路由器建立穿越NAT的VPN几种解决方法

CISCO路由器建立穿越NAT的VPN几种解决方法,第1张

3种方法:

1ipsec-over-udp cisco udp任何 6×isa esp---udp特定端口 group-policy

2nat-t rfc udp4500 6×isa esp---udp4500 nat-tran

3ipsec-over-tcp 只有特定端口tcp的流量 isa ipsec-over-tcp

例如下:

ip nat inside source static esp 1111 interface FastEthernet0/0

静态方式将esp封装中的IP地址NAT转换出去 为 f0/0 端口的ip

ip nat inside source static udp 1111 4500 interface FastEthernet0/0 4500

NAT会影响ipsec协商包括ESP 和AH

所以用UPD500号端口重新封装IPSEC数据,让NAT放行500号端口数据

ip nat inside source static udp 1111 500 interface FastEthernet0/0 500

是nat遍历,你可以理解为用于在ipsec***设备之间发现NAT服务器用的

你把电脑网卡的mtu调小到1400,试试了。怎么调小电脑网卡的mtu,可以看我“百度空间”上的文章。如果是windows远程桌面的默认接口,是3389,你可以先在cmd下,用telnet xxxx 3389测试一下,是否tcp是通的。

共有三种,方法过于复杂,不是几篇能说详细的,下面只说三种方法,具体实现请百度:

1、MPLS ***,也就是基于多协议标记交换的***,一般运行于服务商,用户不需要参与配置,需要在运营商处开通这个业务,费用高,但不需要客户维护。

2、IPSEC ***,这个在用户侧配置,配置复杂,但运营商不参与配置,费用低。

3、IPSEC EASY ***,与二差不多,但配置更复杂,但使用者不需要配置,相对简单,复杂的实现都在本地网络处,对网络工程师的要求高,不需要运营商参与,费用低。

首先SSL 不属于应用层。它属于表示层和会话层,在OSI模型中位于应用和传输层中间。

 

SSL ***就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL ***只支持WEB应用。

目前,新的SSL ***已经可以通过 应用重定向支持的IPSEC 的所有应用了。简单说就是将原应用再次进行封装,将原数据经过SSL构建的加密隧道发往服务端,然后进行解析还原后转发。

 

如下图,实际上正在ping 谷歌的DNS服务器并得到了回应。然而数据封装却看不到ICMP协议,可见ICMP必然是被重新封装了进入了***隧道,data部分必然包含了ICMP的数据包。等到服务端解密后即可看到,然后进行转发。

 

当然要实现上述功能,需要有插件和客户端。

无论你是安装思科的anyconnect 客户端或者是登陆网页输入账号密码,你都会自动形成你的虚拟***网卡,同时自动装好了其对应的驱动和插件。

 

 

至于你说的SSL over IPsec ***,很少有人这么做,不过也是可行的。一般是指站点间的IPsec ***,由于此***只提供了点到点的加密安全,可能有部分需求希望实现端到端的安全。可以在已有的IPsec ***(比如公司已经搭建)隧道中,再构建一个SSL 隧道。不过效率会较低,其实也就是一个二次封装而已。

 

长沙宏宇提供专业的咨询与回复,希望对你有帮助

username AAAAAA password BBBBBB 设定一个用户登录用的用户名和密码

vpdn enable 启动VPDN

!

vpdn-group test***(这个名字随便起)

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1 (建立一个虚接口1)

!

interface Virtual-Template1

ip unnumbered FastEthernet0/0 (指定虚接口的实际拨入接口是Fa0/0)

peer default ip address pool testpool (指定***拨入的地址池为testpool)

ppp encrypt mppe 128 required (指定封装为128位加密,有些版本没有,不一定必须用,可以不写这行)

ppp authentication ms-chap-v2 chap (用户名和密码的校验方式为MS-chap)

ip nat enable (这两行可以不写,写了的话可以让拨入的用户用本地的网络出口做NAT上网)

ip nat inside (这两行可以不写,写了的话可以让拨入的用户用本地的网络出口做NAT上网)

!

ip local pool testpool 172300100 172300150 (设定 地址池testpool 的起止IP)

大致就是这样了,不过cisco 支持做***的好像都是路由器,3层交换机支不支持我还真没试过,主要是看命令行里有没有 VPDN enable。

***client ip是不变的,右下角有个锁的图标如果没锁上就没成功链接***,如果锁上了就是***链接成功,如果成功链接了,右键点锁,statistics,address information,client:xxxx就是你的***地址

使用VRRP协议,使用IPSLA技术。

1、使用VRRP协议:是一种实现路由器冗余的协议。思科设备可以通过配置VRRP实现两条***线路的冗余。

2、使用IPSLA技术:技术可以实现两条***线路的冗余。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » CISCO路由器建立穿越NAT的VPN几种解决方法

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情