cisco vpn client设置

2017-03-21

CISCO VPN是CISCO PIX防火墙提供的VPN功能,用户通过CISCO VPN CLIENT软件连接到CISCO PIX防火墙,利用IPSEC协议建立加密的安全隧道。那么在cisco vpn中如何配置client客户端?小编整理了相关资料,供大家参考。

cisco vpn client设置教程如下:

1、安装CISCO IPSEC 客户端

解压下载的安装包后,点击vpn-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可.

包里一共有三个文件,sites目录包含卓越VPN配置文件,bat结尾的为脚本文件,用来启动ipsec客户端的,可以把它拷到桌面便于启用。

2、输入VPN用户名和密码

右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件。

3、填入VPN信息

输入你的VPN用户名和密码,切记不要编辑未提及的其它参数。

4、开始连接

保存修改好的配置文件后,直接双击卓越VPN-ipsec.bat即可开始通过CISCO IPSEC连接VPN。

5、更换服务器地址

如果服务器无法连接或因为别的原因需要更换服务器。

【实例验证】

试验说明;R1为SKY公司的网关,其F1/0接口连接互联网,用户现在出差在外,通过拨号连接到互联网上,现在希望实现用户通过internet拨号进入SKY公司的R1路由器上,拨号使用easy vpn,并能连接到SKY公司的内网,192.168.0.0/24 网段

需求拓扑:

实验要求;

1,通过cisco vpn client 拨上R1,需要ping通R1的网关的地址,

2,VPN拨入成功之后,可以ping通 192.168.0.2,能访问内网服务器上的共享资源

实验过程:

第一步 R1预配置

R1(config)#int f0/0

R1(config-if)#ip add 192.168.0.1 255.255.255.0

R1(config-if)#no sh

R1(config-if)#int e1/0

R1(config-if)#ip add 192.168.1.200 255.255.255.0

R1(config-if)#no sh

R1(config-if)#end

R1#ping 192.168.1.101

// 在本实验中PC机的IP地址是192.168.1.101

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms

R1#

第二步 配置认证策略

R1#conf t

R1(config)#aaa new-model

// 激活AAA

R1(config)#aaa authorization network vpn-client-user local

// 配置对远程接入IPSec连接的授权,组名为vpn-client-user

第三步 定义用户的组策略

R1(config)#ip local pool VPNDHCP 192.168.0.100 192.168.0.150

// 配置一个内部地址池,用于分配IP地址到远程接入的VPN客户端,在本实验中地址池的起始地址为192.168.0.100,终止的IP地址为192.168.0.150,在后面的组策略中会引用改地址池

R1(config)#crypto isakmp client configuration group vpn-client-user

// 配置远程接入组,组名为vpn-client-user,此组名与aaa authorization network命令中的名称一致

R1(config-isakmp-group)#key norvel.com.cn

// 配置IKE阶段1使用预共享密钥,密钥为norvel.com.cn

R1(config-isakmp-group)#pool VPNDHCP

// 配置在客户端连接的Easy VPN client所分配的IP地址池

R1(config-isakmp-group)#dns 221.11.1.67

// 给客户端分配DNS地址

R1(config-isakmp-group)#domain norvel.com.cn

// 配置分配给客户端的DNS域名

R1(config-isakmp-group)#exit

R1(config)#

第四步 配置IKE阶段1策略

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#group 2

R1(config-isakmp)#hash sha

R1(config-isakmp)#exit

R1(config)#end

R1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: Three key triple DES

hash algorithm: Secure Hash Standard

authentication method: Pre-Shared Key

Diffie-Hellman group: #2 (1024 bit)

lifetime: 86400 seconds, no volume limit

Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature

Diffie-Hellman group: #1 (768 bit)

lifetime: 86400 seconds, no volume limit

第五步 配置动态加密映射

R1#conf t

R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des

// 配置名为R1的转换集

R1(cfg-crypto-trans)#exit

R1(config)#crypto dynamic-map dyvpn 10

// 配置名为dyvpn的动态加密映射

R1(config-crypto-map)#set transform-set R1

R1(config-crypto-map)#reverse-route

//Reverse-route 生成的两条路由,不配置这条命令,是无法ping内网的设备192.168.0.2

R1(config-crypto-map)#exit

第六步 配置静态加密映射

R1(config)#crypto map dyvpn isakmp authorization list vpn-client-user

// 指定应该为远程接入VPN连接执行的授权,这里的vpn-client-user名称必须与aaa authorization network命令中的相同

R1(config)#crypto map dyvpn client configuration address respond

// 配置允许路由器将信息分配给远程接入客户端,respond参数使路由器等待客户端提示发送这些信息,然后路由器使用策略信息来回应

R1(config)#crypto map dyvpn 1 ipsec-isakmp dynamic dyvpn

// 配置在静态映射条目中关联动态加密映射

第七步 在接口上激活静态加密映射

R1(config)#int e1/0

R1(config-if)#crypto map dyvpn

R1(config-if)# ^Z

第八步 在PC机上打开Cisco VPN Client进行配置,点击New创建一个新的VPN连接

第九步 在VPN连接中进行配置,连接名填写easyvpn,主机填写VPN Server 192.168.1.200,name填写vpn-client-user,密码填写norvel.com.cn

第十步 测试VPN连接,选中easyvpn,点击Connect

第十一步 连接成功后查看连接的统计信息

第十二步 在VPN R1上查看相关VPN信息

R1#show crypto ipsec sa

interface: Ethernet1/0

Crypto map tag: dyvpn, local addr 192.168.1.200

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (192.168.0.100/255.255.255.255/0/0)

current_peer 192.168.1.101 port 1141

PERMIT, flags={}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 192.168.1.200, remote crypto endpt.: 192.168.1.101

path mtu 1500, ip mtu 1500, ip mtu idb Ethernet1/0

current outbound spi: 0x1E9D1DD2(513613266)

inbound esp sas:

spi: 0x469FD498(1184879768)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 1, flow_id: SW:1, crypto map: dyvpn

sa timing: remaining key lifetime (k/sec): (4462636/3584)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x1E9D1DD2(513613266)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2, flow_id: SW:2, crypto map: dyvpn

sa timing: remaining key lifetime (k/sec): (4462636/3540)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

outbound pcp sas:

R1#

以上就是小编为大家带来的cisco vpn client设置方法介绍,都是些简单的配置,适合新手学习,希望可以帮到大家哦!

更多相关阅读

最新发布的文章