windows之家1.如何在WINDOWS上使用CISCO IPSEC
安装CISCO IPSEC 客户端 1解压下载的安装包后,点击vpn-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可. 包里一共有三个文件,sites目录包含卓越VPN配置文件,bat结尾的为脚本文件,用来启动ipsec客户端的,可以把它拷到桌面便于启用。
CISCO IPSEC配置文件 2输入VPN用户名和密码 右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件 设置用户名和密码CISCO IPSEC 3填入VPN信息 ,按图中所示输入你的VPN用户名和密码 切记不要编辑未提及的其它参数 CISCO IPSEC连接成功 4开始连接 保存修改好的配置文件后,直接双击卓越VPN-ipsec.bat即可开始通过CISCO IPSEC连接VPN server-switch.png 5更换服务器地址 如果服务器无法连接或因为别的原因需要更换服务器,可参照下面的图更换服务器:。
2.怎样在ROSCiscoPIX中建立IPsectunnel?
在 Cisco PIX firewall上设置: access-list 101 permit ip 192。
168。0。
0 255。255。
255。0 192。
168。1。
0 255。255。
255。0nat (inside) 0 access-list 101!sysopt connection permit-ipsec!crypto ipsec transform-set MySet esp-3des esp-sha-hmac !crypto map MyMap 1 ipsec-isakmpcrypto map MyMap 1 match address 101crypto map MyMap 1 set peer 10。
11。0。
2crypto map MyMap 1 set transform-set MySetcrypto map MyMap 10 set security-association lifetime seconds 86400crypto map MyMap interface outside!isakmp enable outsideisakmp key gsdhg%#@&$*$U782GY#JG#HJ1231 address 10。 11。
0。2 netmask 255。
255。255。
255 isakmp identity addressisakmp policy 1 authentication pre-shareisakmp policy 1 encryption 3desisakmp policy 1 hash shaisakmp policy 1 group 2isakmp policy 1 lifetime 86400 在 MikroTik routeros上面设置:/ip ipsec peer add secret="gsdhg%#@&$*$U782GY#JG#HJ1231" address=10。 11。
0。2/32 \\。
enc-algorithm=3des hash-algorithm=sha1 dh-group=modp1024 lifetime=1d/ip ipsec proposal add auth-algorithms=sha1 enc-algorithm=3des lifetime=1d/ip ipsec policy add src-address 192。 168。
1。0/24 dst-address=192。
168。0。
0/24 \\。
sa-src-address=10。
0。0。
1 sa-dst-address=10。11。
0。2 ipsec-protocols=esp action=encrypt level=require tunnel=yesRetrieved from "/wiki/IPsec"。
3.cisco双ISP线路接入链路自动切换方案是什么?
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 515作IPsec VPN对接,现客户要求是新增一条网通DDN专线用来专跑ERP数据业务,就是要求平时总部去分部访问ERP服务器的数据走DDN专线,访问邮件服务器的数据走ipsecVPN,但当这两条链路其中有出现故障中断时,能做到链路自动切换,例DDN专线出现故障,原走这条线路的ERP数据能自动切换到ipsec VPN线路去,如果线路恢复线路又自动切换。
对netscreen 作了研究它是支持策略路由,但好像不支持线路检测(如知道者请提供资料,学习一下)。 为满足客户要求,我推荐用思科1841路由器,思科支持策略路由与线路检测,一直有看过相应的文档,但没实施过,呵呵,终于有机会了。
解方案如下图: IP分配如下: 总部IP段为:192。 168。
1。0/24 网关:192。
168。1。
111/24 netscreen ssg-140 和透明接入, R1配置: FastEthernet0/0 -- 192。168。
1。111/24 FastEthernet0/1 -- 192。
168。2。
1/24 (铁通线路 IP 有改^_^) Serial0/0 --- 192。168。
3。1/24 (网通线路) PIX 515配置: Ethernet1 (outside) -- 192。
168。2。
2/24 Ethernet0 (inside) -- 192。 168。
4。1/24 R2配置: FastEthernet0/0 -- 192。
168。4。
2/24 FastEthernet0/1-- 192。168。
5。1/24 Serial0/0 -- 192。
168。3。
2/24 下面只列出重点部分: VPN配置R1----PIX515 R1: 第一步:在路由器上定义NAT的内部接口和外部接口 R1(config)#int f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int f0/1 R1(config-if)#ip nat outside R1(config-if)#exit 第二步:定义需要被NAT的数据流(即除去通过VPN传输的数据流) R1(config)#access-list 101 deny ip 192。 168。
1。0 0。
0。0。
255 192。168。
4。0 0。
0。0。
255 R1(config)#access-list 101 deny ip 192。168。
1。0 0。
0。0。
255 192。168。
5。0 0。
0。0。
255 R1(config)#access-list 101 permit ip any any 第三步:定义NAT。 R1(config)#ip nat inside source list 101 interface f0/1 overload 第四步:定义感兴趣数据流,即将来需要通过VPN加密传输的数据流。
R1(config)#access-list 102 permit ip 192。 168。
1。0 0。
0。0。
255 192。168。
4。0 0。
0。0。
255 R1(config)#access-list 102 permit ip 192。168。
1。0 0。
0。0。
255 192。168。
5。0 0。
0。0。
255。
4.怎么为Cisco路由器配置GRE隧道
路由封装(GRE)最早是由Cisco提出的,而目前它已经成为了一种标准,被定义在RFC 1701, RFC 1702, 以及RFC 2784中。
简单来说,GRE就是一种隧道协议,用来从一个网络向另一个网络传输数据包。 如果你觉得它和虚拟专用网(VPN)有些类似,那只是因为:从技术上讲,GRE隧道是某一类型的VPN,但是并不是一个安全隧道方式。
不过你也可以使用某种加密协议对GRE隧道进行加密,比如VPN网络中常用的IPSec协议。 实际上,点到点隧道协议(PPTP)就是使用了GRE来创建VPN隧道。
比如,如果你要创建Microsoft VPN隧道,默认情况下会使用PPTP,这时就会用到GRE。 为什么要用GRE? 为什么要使用GRE进行隧道传输呢?原因如下: 有时你需要加密的多播传输。
GRE隧道可以像真实的网络接口那样传递多播数据包,而单独使用IPSec,则无法对多播传输进行加密。多播传输的例子包括OSPF, EIGRP, 以及RIPV2。
另外,大量的视频、VoIP以及音乐流程序使用多播。 你所采用的某种协议无法进行路由,比如NetBIOS或在IP网络上进行非IP传输。
比如,你可以在IP网络中使用GRE支持IPX或AppleTalk协议。 你需要用一个IP地址不同的网络将另外两个类似的网络连接起来。
如何配置GRE隧道? 在Cisco路由器上配置GRE隧道是一个简单的工作,只需要输入几行命令即可实现。以下是一个简单的例子。
路由器A: interface Ethernet0/1 ip address 10。2。
2。1 255。
255。255。
0 interface Serial0/0 ip address 192。168。
4。1 255。
255。255。
0 interface Tunnel0 ip address 1。1。
1。2 255。
255。255。
0 tunnel source Serial0/0 tunnel destination 192。 168。
4。2 路由器B: interface FastEthernet0/1 ip address 10。
1。1。
1 255。255。
255。0 interface Serial0/0 ip address 192。
168。4。
2 255。 255。
255。0 interface Tunnel0 ip address 1。
1。1。
1 255。255。
255。0 tunnel source Serial0/0 tunnel destination 192。
168。4。
5.求注释下面关于cisco路由器方面的Tunnel知识,详细点比较好
interface Tunnel1 --进入配置tunnel1
description to TEST1 --描述该端口
ip unnumbered GigabitEthernet0/0 -- 该tunnel的IP地址借用G0/0的地址
ip ospf network point-to-point -- 配置ospf 的网络类型为点对点
ip ospf priority 98 --配置ospf 优先级为98 (MA网络选DR用的)
ip ospf 1 area 0 --将该接口宣告进OSPF的区域0
tunnel source GigabitEthernet0/0 -- tunnel的源是G0/0
tunnel destination 192.168.1.100 --tunnel的目的地址
tunnel path-mtu-discovery --MTU发现,防止分片
6.win10打不开cisco anyconnent
1、在一些思科的设备上,访问设备的网址将会自动引发anyconnect的下载,点击是进行下一步。
2、可能会出现当前主机JAVA版本过低的提示,可以先不用考虑更新,直接点击运行即可。3、系统会自动再次进入自动检测环境的界面,也会进行java环境的检测,如果能通过就不用更新了。
4、到了后面一步,正常情况下win10下自动安装会停止,提示无法完成安装,跳出以下的窗口,点击链接部分下载文件。5、从文件管理器中找到刚才下载的文件,手动点击该安装文件行安装,安装完成后双击图标执行。
6、系统跳出登录界面,输入要登录的服务端IP地址,点击connect,输入用户名和密码后连接就成功了。
转载请注明出处windows之家 » win10设置ciscoipsec