CISCO路由器建立穿越NAT的VPN几种解决方法
3种方法:
1ipsec-over-udp cisco udp任何 6×isa esp---udp特定端口 group-policy
2nat-t rfc udp4500 6×isa esp---udp4500 nat-tran
3ipsec-over-tcp 只有特定端口tcp的流量 isa ipsec-over-tcp
例如下:
ip nat inside source static esp 1111 interface FastEthernet0/0
静态方式将esp封装中的IP地址NAT转换出去 为 f0/0 端口的ip
ip nat inside source static udp 1111 4500 interface FastEthernet0/0 4500
NAT会影响ipsec协商包括ESP 和AH
所以用UPD500号端口重新封装IPSEC数据,让NAT放行500号端口数据
ip nat inside source static udp 1111 500 interface FastEthernet0/0 500
是nat遍历,你可以理解为用于在ipsec***设备之间发现NAT服务器用的
你把电脑网卡的mtu调小到1400,试试了。怎么调小电脑网卡的mtu,可以看我“百度空间”上的文章。如果是windows远程桌面的默认接口,是3389,你可以先在cmd下,用telnet xxxx 3389测试一下,是否tcp是通的。
共有三种,方法过于复杂,不是几篇能说详细的,下面只说三种方法,具体实现请百度:
1、MPLS ***,也就是基于多协议标记交换的***,一般运行于服务商,用户不需要参与配置,需要在运营商处开通这个业务,费用高,但不需要客户维护。
2、IPSEC ***,这个在用户侧配置,配置复杂,但运营商不参与配置,费用低。
3、IPSEC EASY ***,与二差不多,但配置更复杂,但使用者不需要配置,相对简单,复杂的实现都在本地网络处,对网络工程师的要求高,不需要运营商参与,费用低。
首先SSL 不属于应用层。它属于表示层和会话层,在OSI模型中位于应用和传输层中间。
SSL ***就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL ***只支持WEB应用。
目前,新的SSL ***已经可以通过 应用重定向支持的IPSEC 的所有应用了。简单说就是将原应用再次进行封装,将原数据经过SSL构建的加密隧道发往服务端,然后进行解析还原后转发。
如下图,实际上正在ping 谷歌的DNS服务器并得到了回应。然而数据封装却看不到ICMP协议,可见ICMP必然是被重新封装了进入了***隧道,data部分必然包含了ICMP的数据包。等到服务端解密后即可看到,然后进行转发。
当然要实现上述功能,需要有插件和客户端。
无论你是安装思科的anyconnect 客户端或者是登陆网页输入账号密码,你都会自动形成你的虚拟***网卡,同时自动装好了其对应的驱动和插件。
至于你说的SSL over IPsec ***,很少有人这么做,不过也是可行的。一般是指站点间的IPsec ***,由于此***只提供了点到点的加密安全,可能有部分需求希望实现端到端的安全。可以在已有的IPsec ***(比如公司已经搭建)隧道中,再构建一个SSL 隧道。不过效率会较低,其实也就是一个二次封装而已。
长沙宏宇提供专业的咨询与回复,希望对你有帮助
username AAAAAA password BBBBBB 设定一个用户登录用的用户名和密码
vpdn enable 启动VPDN
!
vpdn-group test***(这个名字随便起)
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1 (建立一个虚接口1)
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0 (指定虚接口的实际拨入接口是Fa0/0)
peer default ip address pool testpool (指定***拨入的地址池为testpool)
ppp encrypt mppe 128 required (指定封装为128位加密,有些版本没有,不一定必须用,可以不写这行)
ppp authentication ms-chap-v2 chap (用户名和密码的校验方式为MS-chap)
ip nat enable (这两行可以不写,写了的话可以让拨入的用户用本地的网络出口做NAT上网)
ip nat inside (这两行可以不写,写了的话可以让拨入的用户用本地的网络出口做NAT上网)
!
ip local pool testpool 172300100 172300150 (设定 地址池testpool 的起止IP)
大致就是这样了,不过cisco 支持做***的好像都是路由器,3层交换机支不支持我还真没试过,主要是看命令行里有没有 VPDN enable。
***client ip是不变的,右下角有个锁的图标如果没锁上就没成功链接***,如果锁上了就是***链接成功,如果成功链接了,右键点锁,statistics,address information,client:xxxx就是你的***地址
使用VRRP协议,使用IPSLA技术。
1、使用VRRP协议:是一种实现路由器冗余的协议。思科设备可以通过配置VRRP实现两条***线路的冗余。
2、使用IPSLA技术:技术可以实现两条***线路的冗余。
0条评论