cisco client設(shè)置

時(shí)間：2016-03-17 12:39:40 春健736由分享

cisco client設(shè)置

　　CISCO 是CISCO PIX防火墻提供的功能，用戶(hù)通過(guò)CISCO CLIENT軟件連接到CISCO PIX防火墻，利用IPSEC協(xié)議建立加密的安全隧道。那么在cisco 中如何配置client客戶(hù)端？學(xué)習(xí)啦小編整理了相關(guān)資料，供大家參考。

　　cisco client設(shè)置教程如下：

　　1、安裝CISCO IPSEC 客戶(hù)端

　　解壓下載的安裝包后,點(diǎn)擊-client-2.2.2-release.exe啟動(dòng)安裝程序,只需在第二步時(shí)把默認(rèn)的professional改為standard,其它部分只需一直按next即可.

　　包里一共有三個(gè)文件,sites目錄包含卓越配置文件,bat結(jié)尾的為腳本文件，用來(lái)啟動(dòng)ipsec客戶(hù)端的，可以把它拷到桌面便于啟用。

　　2、輸入用戶(hù)名和密碼

　　右擊bat結(jié)尾的腳本文件,選擇編輯?？捎糜浭卤净蚱渌谋揪庉嬈鞔蜷_(kāi)該文件。

　　3、填入信息

　　輸入你的用戶(hù)名和密碼，切記不要編輯未提及的其它參數(shù)。

　　4、開(kāi)始連接

　　保存修改好的配置文件后,直接雙擊卓越-ipsec.bat即可開(kāi)始通過(guò)CISCO IPSEC連接。

　　5、更換服務(wù)器地址

　　如果服務(wù)器無(wú)法連接或因?yàn)閯e的原因需要更換服務(wù)器。

　　【實(shí)例驗(yàn)證】

　　試驗(yàn)說(shuō)明;R1為SKY公司的網(wǎng)關(guān)，其F1/0接口連接互聯(lián)網(wǎng)，用戶(hù)現(xiàn)在出差在外，通過(guò)撥號(hào)連接到互聯(lián)網(wǎng)上，現(xiàn)在希望實(shí)現(xiàn)用戶(hù)通過(guò)internet撥號(hào)進(jìn)入SKY公司的R1路由器上，撥號(hào)使用easy ，并能連接到SKY公司的內(nèi)網(wǎng)，192.168.0.0/24 網(wǎng)段

　　需求拓?fù)洌?/p>

　　實(shí)驗(yàn)要求;

　　1，通過(guò)cisco client 撥上R1，需要ping通R1的網(wǎng)關(guān)的地址，

　　2，撥入成功之后，可以ping通 192.168.0.2，能訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器上的共享資源

　　實(shí)驗(yàn)過(guò)程：

　　第一步 R1預(yù)配置

　　R1(config)#int f0/0

　　R1(config-if)#ip add 192.168.0.1 255.255.255.0

　　R1(config-if)#no sh

　　R1(config-if)#int e1/0

　　R1(config-if)#ip add 192.168.1.200 255.255.255.0

　　R1(config-if)#no sh

　　R1(config-if)#end

　　R1#ping 192.168.1.101

　　// 在本實(shí)驗(yàn)中PC機(jī)的IP地址是192.168.1.101

　　Type escape sequence to abort.

　　Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:

　　.!!!!

　　Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms

　　R1#

　　第二步配置認(rèn)證策略

　　R1#conf t

　　R1(config)#aaa new-model

　　// 激活A(yù)AA

　　R1(config)#aaa authorization network -client-user local

　　// 配置對(duì)遠(yuǎn)程接入IPSec連接的授權(quán)，組名為-client-user

　　第三步定義用戶(hù)的組策略

　　R1(config)#ip local pool DHCP 192.168.0.100 192.168.0.150

　　// 配置一個(gè)內(nèi)部地址池，用于分配IP地址到遠(yuǎn)程接入的客戶(hù)端，在本實(shí)驗(yàn)中地址池的起始地址為192.168.0.100，終止的IP地址為192.168.0.150，在后面的組策略中會(huì)引用改地址池

　　R1(config)#crypto isakmp client configuration group -client-user

　　// 配置遠(yuǎn)程接入組，組名為-client-user，此組名與aaa authorization network命令中的名稱(chēng)一致

　　R1(config-isakmp-group)#key norvel.com.cn

　　// 配置IKE階段1使用預(yù)共享密鑰，密鑰為norvel.com.cn

　　R1(config-isakmp-group)#pool DHCP

　　// 配置在客戶(hù)端連接的Easy client所分配的IP地址池

　　R1(config-isakmp-group)#dns 221.11.1.67

　　// 給客戶(hù)端分配DNS地址

　　R1(config-isakmp-group)#domain norvel.com.cn

　　// 配置分配給客戶(hù)端的DNS域名

　　R1(config-isakmp-group)#exit

　　R1(config)#

　　第四步配置IKE階段1策略

　　R1(config)#crypto isakmp policy 10

　　R1(config-isakmp)#authentication pre-share

　　R1(config-isakmp)#encryption 3des

　　R1(config-isakmp)#group 2

　　R1(config-isakmp)#hash sha

　　R1(config-isakmp)#exit

　　R1(config)#end

　　R1#show crypto isakmp policy

　　Global IKE policy

　　Protection suite of priority 10

　　encryption algorithm: Three key triple DES

　　hash algorithm: Secure Hash Standard

　　authentication method: Pre-Shared Key

　　Diffie-Hellman group: #2 (1024 bit)

　　lifetime: 86400 seconds, no volume limit

　　Default protection suite

　　encryption algorithm: DES - Data Encryption Standard (56 bit keys).

　　hash algorithm: Secure Hash Standard

　　authentication method: Rivest-Shamir-Adleman Signature

　　Diffie-Hellman group: #1 (768 bit)

　　lifetime: 86400 seconds, no volume limit

　　第五步配置動(dòng)態(tài)加密映射

　　R1#conf t

　　R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des

　　// 配置名為R1的轉(zhuǎn)換集

　　R1(cfg-crypto-trans)#exit

　　R1(config)#crypto dynamic-map dy 10

　　// 配置名為dy的動(dòng)態(tài)加密映射

　　R1(config-crypto-map)#set transform-set R1

　　R1(config-crypto-map)#reverse-route

　　//Reverse-route 生成的兩條路由,不配置這條命令，是無(wú)法ping內(nèi)網(wǎng)的設(shè)備192.168.0.2

　　R1(config-crypto-map)#exit

　　第六步配置靜態(tài)加密映射

　　R1(config)#crypto map dy isakmp authorization list -client-user

　　// 指定應(yīng)該為遠(yuǎn)程接入連接執(zhí)行的授權(quán)，這里的-client-user名稱(chēng)必須與aaa authorization network命令中的相同

　　R1(config)#crypto map dy client configuration address respond

　　// 配置允許路由器將信息分配給遠(yuǎn)程接入客戶(hù)端，respond參數(shù)使路由器等待客戶(hù)端提示發(fā)送這些信息，然后路由器使用策略信息來(lái)回應(yīng)

　　R1(config)#crypto map dy 1 ipsec-isakmp dynamic dy

　　// 配置在靜態(tài)映射條目中關(guān)聯(lián)動(dòng)態(tài)加密映射

　　第七步在接口上激活靜態(tài)加密映射

　　R1(config)#int e1/0

　　R1(config-if)#crypto map dy

　　R1(config-if)# ^Z

　　第八步在PC機(jī)上打開(kāi)Cisco Client進(jìn)行配置，點(diǎn)擊New創(chuàng)建一個(gè)新的連接

　　第九步在連接中進(jìn)行配置，連接名填寫(xiě)easy，主機(jī)填寫(xiě) Server 192.168.1.200，name填寫(xiě)-client-user，密碼填寫(xiě)norvel.com.cn

　　第十步測(cè)試連接，選中easy，點(diǎn)擊Connect

　　第十一步連接成功后查看連接的統(tǒng)計(jì)信息

　　第十二步在 R1上查看相關(guān)信息

　　R1#show crypto ipsec sa

　　interface: Ethernet1/0

　　Crypto map tag: dy, local addr 192.168.1.200

　　protected vrf: (none)

　　local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

　　remote ident (addr/mask/prot/port): (192.168.0.100/255.255.255.255/0/0)

　　current_peer 192.168.1.101 port 1141

　　PERMIT, flags={}

　　#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

　　#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

　　#pkts compressed: 0, #pkts decompressed: 0

　　#pkts not compressed: 0, #pkts compr. failed: 0

　　#pkts not decompressed: 0, #pkts decompress failed: 0

　　#send errors 0, #recv errors 0

　　local crypto endpt.: 192.168.1.200, remote crypto endpt.: 192.168.1.101

　　path mtu 1500, ip mtu 1500, ip mtu idb Ethernet1/0

　　current outbound spi: 0x1E9D1DD2(513613266)

　　inbound esp sas:

　　spi: 0x469FD498(1184879768)

　　transform: esp-3des esp-sha-hmac ,

　　in use settings ={Tunnel, }

　　conn id: 1, flow_id: SW:1, crypto map: dy

　　sa timing: remaining key lifetime (k/sec): (4462636/3584)

　　IV size: 8 bytes

　　replay detection support: Y

　　Status: ACTIVE

　　inbound ah sas:

　　inbound pcp sas:

　　outbound esp sas:

　　spi: 0x1E9D1DD2(513613266)

　　transform: esp-3des esp-sha-hmac ,

　　in use settings ={Tunnel, }

　　conn id: 2, flow_id: SW:2, crypto map: dy

　　sa timing: remaining key lifetime (k/sec): (4462636/3540)

　　IV size: 8 bytes

　　replay detection support: Y

　　Status: ACTIVE

　　outbound ah sas:

　　outbound pcp sas:

　　R1#

　　以上就是小編為大家?guī)?lái)的cisco client設(shè)置方法介紹，都是些簡(jiǎn)單的配置,適合新手學(xué)習(xí)，希望可以幫到大家哦!

cisco client設(shè)置

相關(guān)文章

熱門(mén)文章