cisco client設(shè)置
cisco client設(shè)置
CISCO 是CISCO PIX防火墻提供的功能,用戶通過CISCO CLIENT軟件連接到CISCO PIX防火墻,利用IPSEC協(xié)議建立加密的安全隧道。那么在cisco 中如何配置client客戶端?學(xué)習(xí)啦小編整理了相關(guān)資料,供大家參考。
cisco client設(shè)置教程如下:
1、安裝CISCO IPSEC 客戶端
解壓下載的安裝包后,點擊-client-2.2.2-release.exe啟動安裝程序,只需在第二步時把默認(rèn)的professional改為standard,其它部分只需一直按next即可.
包里一共有三個文件,sites目錄包含卓越配置文件,bat結(jié)尾的為腳本文件,用來啟動ipsec客戶端的,可以把它拷到桌面便于啟用。
2、輸入用戶名和密碼
右擊bat結(jié)尾的腳本文件,選擇編輯??捎糜浭卤净蚱渌谋揪庉嬈鞔蜷_該文件。
3、填入信息
輸入你的用戶名和密碼,切記不要編輯未提及的其它參數(shù)。
4、開始連接
保存修改好的配置文件后,直接雙擊卓越-ipsec.bat即可開始通過CISCO IPSEC連接。
5、更換服務(wù)器地址
如果服務(wù)器無法連接或因為別的原因需要更換服務(wù)器。
【實例驗證】
試驗說明;R1為SKY公司的網(wǎng)關(guān),其F1/0接口連接互聯(lián)網(wǎng),用戶現(xiàn)在出差在外,通過撥號連接到互聯(lián)網(wǎng)上,現(xiàn)在希望實現(xiàn)用戶通過internet撥號進入SKY公司的R1路由器上,撥號使用easy ,并能連接到SKY公司的內(nèi)網(wǎng),192.168.0.0/24 網(wǎng)段
需求拓?fù)洌?/p>
實驗要求;
1,通過cisco client 撥上R1,需要ping通R1的網(wǎng)關(guān)的地址,
2,撥入成功之后,可以ping通 192.168.0.2,能訪問內(nèi)網(wǎng)服務(wù)器上的共享資源
實驗過程:
第一步 R1預(yù)配置
R1(config)#int f0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
// 在本實驗中PC機的IP地址是192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms
R1#
第二步 配置認(rèn)證策略
R1#conf t
R1(config)#aaa new-model
// 激活A(yù)AA
R1(config)#aaa authorization network -client-user local
// 配置對遠程接入IPSec連接的授權(quán),組名為-client-user
第三步 定義用戶的組策略
R1(config)#ip local pool DHCP 192.168.0.100 192.168.0.150
// 配置一個內(nèi)部地址池,用于分配IP地址到遠程接入的客戶端,在本實驗中地址池的起始地址為192.168.0.100,終止的IP地址為192.168.0.150,在后面的組策略中會引用改地址池
R1(config)#crypto isakmp client configuration group -client-user
// 配置遠程接入組,組名為-client-user,此組名與aaa authorization network命令中的名稱一致
R1(config-isakmp-group)#key norvel.com.cn
// 配置IKE階段1使用預(yù)共享密鑰,密鑰為norvel.com.cn
R1(config-isakmp-group)#pool DHCP
// 配置在客戶端連接的Easy client所分配的IP地址池
R1(config-isakmp-group)#dns 221.11.1.67
// 給客戶端分配DNS地址
R1(config-isakmp-group)#domain norvel.com.cn
// 配置分配給客戶端的DNS域名
R1(config-isakmp-group)#exit
R1(config)#
第四步 配置IKE階段1策略
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config-isakmp)#exit
R1(config)#end
R1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 10
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
第五步 配置動態(tài)加密映射
R1#conf t
R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des
// 配置名為R1的轉(zhuǎn)換集
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map dy 10
// 配置名為dy的動態(tài)加密映射
R1(config-crypto-map)#set transform-set R1
R1(config-crypto-map)#reverse-route
//Reverse-route 生成的兩條路由,不配置這條命令,是無法ping內(nèi)網(wǎng)的設(shè)備192.168.0.2
R1(config-crypto-map)#exit
第六步 配置靜態(tài)加密映射
R1(config)#crypto map dy isakmp authorization list -client-user
// 指定應(yīng)該為遠程接入連接執(zhí)行的授權(quán),這里的-client-user名稱必須與aaa authorization network命令中的相同
R1(config)#crypto map dy client configuration address respond
// 配置允許路由器將信息分配給遠程接入客戶端,respond參數(shù)使路由器等待客戶端提示發(fā)送這些信息,然后路由器使用策略信息來回應(yīng)
R1(config)#crypto map dy 1 ipsec-isakmp dynamic dy
// 配置在靜態(tài)映射條目中關(guān)聯(lián)動態(tài)加密映射
第七步 在接口上激活靜態(tài)加密映射
R1(config)#int e1/0
R1(config-if)#crypto map dy
R1(config-if)# ^Z
第八步 在PC機上打開Cisco Client進行配置,點擊New創(chuàng)建一個新的連接
第九步 在連接中進行配置,連接名填寫easy,主機填寫 Server 192.168.1.200,name填寫-client-user,密碼填寫norvel.com.cn
第十步 測試連接,選中easy,點擊Connect
第十一步 連接成功后查看連接的統(tǒng)計信息
第十二步 在 R1上查看相關(guān)信息
R1#show crypto ipsec sa
interface: Ethernet1/0
Crypto map tag: dy, local addr 192.168.1.200
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.100/255.255.255.255/0/0)
current_peer 192.168.1.101 port 1141
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.1.200, remote crypto endpt.: 192.168.1.101
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet1/0
current outbound spi: 0x1E9D1DD2(513613266)
inbound esp sas:
spi: 0x469FD498(1184879768)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, crypto map: dy
sa timing: remaining key lifetime (k/sec): (4462636/3584)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1E9D1DD2(513613266)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, crypto map: dy
sa timing: remaining key lifetime (k/sec): (4462636/3540)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
R1#
以上就是小編為大家?guī)淼腸isco client設(shè)置方法介紹,都是些簡單的配置,適合新手學(xué)習(xí),希望可以幫到大家哦!