总公司用的思科的命令行路由器cisco2811,路由器下有一个服务器,现在想让分公司人也能访问总公司的服务器
1楼正解,补充下 一般网络都是NAT的 可能还需要做下映射
ip nat inside sources static tcp(表示TCP协议) 服务器ip 需要的端口号 外网ip 外网端口号
外网访问内网服务器,需要做端口映射,内网上网是做nat代理
可使用IPSEC VPN,具体配置网上很多可以搜索到!下面是我copy的其中一个!
思科路由器VPN配置
文章来源:宁波邦元培训网 作者:曹老师 点击次数:199 更新时间:2012-4-22
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。
Remote VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server 端建立VPN链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
前面我们也讲解过如何在路由器上面配置Remote VPN,那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote VPN呢。
第一步:建立一个地址池。
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。
QUANMA-T(config)# ip local pool vpnpool 192.168.10.100-192.168.10.199 mask 255.255.255.0
第二步:建立IKE第一阶段。
QUANMA-T(config)# isakmp policy 1
QUANMA-T(config-isakmp-policy)# authentication pre-share
QUANMA-T(config-isakmp-policy)# encryption 3des
QUANMA-T(config-isakmp-policy)# hash sha
QUANMA-T(config-isakmp-policy)# group 2
QUANMA-T(config-isakmp-policy)# lifetime 43200
QUANMA-T(config-isakmp-policy)# exit
第三步:将IKE第一阶段应用在outside接口上面。
QUANMA-T(config)# isakmp enable outside
第四步:定义转换集
QUANMA-T(config)# crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
这里设置的转换集名字为vpnset。
第五步:动态加密映射配置
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set transform-set vpnset
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set reverse-route
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
第六步:在静态加密映射中调用动态加密映射并应用在接口上面
QUANMA-T(config)# crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
QUANMA-T(config)# crypto map outside-map interface outside
第七步:NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
QUANMA-T(config)# sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
QUANMA-T(config)# group-policy vpnclient internal
QUANMA-T(config)# group-policy vpnclient attributes
QUANMA-T(config-group-policy)# dns-server value 61.139.2.69
QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec
QUANMA-T(config-group-policy)# default-domain value liuty.cn
QUANMA-T(config-group-policy)# exit
第十步:遂道组的建立以属性的设置
QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra
QUANMA-T(config)# tunnel-group vpnclient ipsec-attributes
QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123
QUANMA-T(config-tunnel-ipsec)# exit
QUANMA-T(config)# tunnel-group vpnclient general-attributes
QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
QUANMA-T(config-tunnel-general)# default-group-policy vpnclient
QUANMA-T(config-tunnel-general)# address-pool vpnpool
QUANMA-T(config-tunnel-general)# exit
而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:
QUANMA-T(config)# username liuty password yjtfpddc
QUANMA-T(config)# username liuty attributes
QUANMA-T(config-username)# vpn-group-policy vpnclient
QUANMA-T(config-username)# exit
第十二步:配置NAT免除
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
QUANMA-T(config)# access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
QUANMA-T(config)# nat (inside) 0 access-list no-nat
第十三步:遂道分离设置
QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
QUANMA-T(config)# group-policy vpnclient attributes
QUANMA-T(config-group-policy)# split-tunnel-policy tunnelspecified
QUANMA-T(config-group-policy)# split-tunnel-network-list value vpnclient_splitTunnelAcl
QUANMA-T(config-group-policy)# end
第十四步:保存
QUANMA-T#write memory
很多方法,
一。是上面兄弟提到的映射,以为你服务器只有一台,这种方法实现最简单,投入最小。而且你设置好安全策略是没多大问题的。
二。 可在总公司建立一台服务器,双网卡,一网卡接你服务器,一网卡接外网ip,起pptpd vpn服务,这样就算在家里,都可以通过vpn访问总公司服务器。
方法1,对于你这种情况最现实,因为你只是访问1台设备而已。并不需要和总公司在一个广播域,共享文件等。
简单的映射即可,在放行分公司的IP段 拒绝其他所有 简单实用
Server——fa0/0(Cisco2811)fa0/1——Internet
主要配置供参考:
int f0/0
ip add 192.168.0.1 255.255.255.0
ip nat inside
int f0/1
ip add 210.70.5.1 255.255.255.248
ip nat outside
ip access-group in ACL1
ip nat inside source static 192.168.0.200 210.70.5.2
ip access-list extend ACL1
per ip 123.124.12.0 0.0.0.7 host 210.70.5.2
deny ip any host 210.70.5.2
per ip any any
通过VPN实现,具体命令查思科手册
思科路由器配置命令一览表
思科路由器常用配置命令一览表:1、Exec commands:<1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个...
基本思科三层交换机配置命令有哪些 思科三层交换机配置命令介绍_百度...
具备全方位的安全防护特性,能有效防御各类网络威胁,同时支持HTML5和CSS3,确保了与最新网络技术标准的完美兼容。欲了解更多或立即下载,请访问https:\/\/sogou.37moyu.com\/ 基本思科三层交换机配置命令 1. 交换机支持的命令: 交换机基本状态:switch: ;ROM状态, 路由器是rommon>hostname> ;用户模式...
思科路由器查看单位运行命令
思科路由器查看配置信息命令行。1、查看运行配置文件:Router#showrunning-config运行配置文件running-config位于路由器的RAM中,存放的是路由器当前使用的配置信息。2.查看启动配置文件:Router#showstartup-config启动配置文件startup-config位于路由器的NVRAM中,可以长期保存。它在启动路由器时装入RAM,成为...
请问基本思科三层交换机配置命令有哪些 思科三层交换机配置命令介绍_百 ...
这款双核浏览器融合了高性能优化技术和极速的网页加载能力,为您提供了前所未有的流畅体验。搭载先进的安全防护系统,搜狗高速浏览器为您的网络生活提供全方位保护。访问https:\/\/sogou.37moyu.com\/,立即下载体验。 基本思科三层交换机配置命令 1. 交换机支持的命令: 交换机基本状态:switch: ;ROM状态,...
新手配置思科交换机详细教程思科交换机配置命令大全
新手配置思科交换机详细教程思科交换机配置命令大全switch> 用户模式1:进入特权模式 enableswitch> enableswitch#2:进入全局配置模式 configure terminalswitch> enableswitch#c onfigure terminalswitc
思科三层交换机配置命令
1. 交换机支持的命令: 交换机基本状态: switch: ;ROM状态, 路由器是rommon hostname ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令...
思科路由器命令:ip name-server和ip domain-name,有何区别?
思科路由器命令:ip name-server和ip domain-name区别为:操作不同、IP地址不同、用途不同。一、操作不同 1、ip name-server:ip name-server是为路由器添加一个DNS地址。2、ip domain-name:ip domain-name是为路由器设置一个域名。二、IP地址不同 1、ip name-server:ip name-server不影响路由...
思科的NAT配置命令是什么?
在全局配置模式下输入下面三行内容:\\x0d\\x0aip nat pool 000 192.168.2.1 192.168.2.10 netmask 255.255.255.0\\x0d\\x0aaccess-list 1 permit 192.168.1.0 0.0.0.255\\x0d\\x0aip nat inside source list 1 pool 000 overload\\x0d\\x0a第一行000为地址池名字,192.168.2.1 ...
思科配置命令详细介绍
思科配置命令详细介绍 对于刚想学计算机网络技术的朋友,首先接触的就是思科路由器,下面是我给大家带来的最详细的CISCO路由器配置命令及方法: 目 录: 第一章 路由器配置基础 一、基本设置方式 二、命令状态 三、设置对话过程 四、常用命令 五、配置IP寻址 六、配置静态路由 第二章 广域网协议设置 一、HDLC 二、...
思科模拟器路由器配置命令
思科模拟器是一个功能强大的网络仿真程序,它有很多特色的功能,能够有效的帮助到学习CCNA课程的网络初学者。今天就来为大家分享思科模拟器路由器配置命令,有需要的小伙伴一起看看吧思科模拟器路由器配置命令:1、路由器口令设置:routerenable进入特权模式router#configterminal进入全局配置模式router(config)#...
松览利肝: 100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够... 1 (通过IP地址为222. 134.135.97的路由器路由所有的出站数据包/外部接口/) pix...
静乐县13878948961: 思科2911路由器,一端接总公司,一端接分公司交换机?请问2911怎么配置 - ?
松览利肝: en confi tINT s0/0 ip add (你得总公司给的IP)no shuint f0/1 ip add (分公司IP)如192.168.1 255.255.255.0no shuexitcopy run start或WR 麻烦采纳,谢谢!
静乐县13878948961: Cisco交换机和路由器和华为的有什么不一样? - ?
松览利肝: 功能相同,品牌不同,使用的IOS也不同.配置上,命令也不同.但实现在的功能相同
静乐县13878948961: 如何修改vcsa6.0的登陆密码 - ?
松览利肝: 步骤如下: 针对windows版本的vcenter1、利用domain administrator登录到vcenter,打开命令行界面,来到下面的路径: 1. c:\>"%vmware_cis_home%\vmdird\vdcadmintool.exe"之后,系统会弹出下面几个选项框: 1. 0. exit- j% s1 ?7 s) f2 ...
静乐县13878948961: CiscoAironet无线接入点ARP攻击拒绝服务有什么? ?
松览利肝: 受影响系统: Cisco Aironet Wireless Access Point 350Cisco Aironet Wireless Access Point 1400Cisco Aironet Wireless Access Point 1300Cisco Aironet Wireless Access...
静乐县13878948961: dell交换机红灯 - ?
松览利肝: 您好!可能是风扇故障,建议您送修吧!戴尔售后服务点查询链接:www.dell.com.cn/cis
静乐县13878948961: cisco catalyst系列只有交换机吗? - ?
松览利肝: 最早思科是只做路由器不做交换机,当时做交换机的厂商已经很多了,所以思科想进军交换机界就走了一条收购的道路,被收购的生产交换机的厂商叫catalyst,而且还保留他们自己的IOS,所以现在还是分Cisco IOS和Cisco catOS2种.cisco ...
静乐县13878948961: 思科企业路由器应该怎么选择?
松览利肝: 3600已经停产了 对应的是3800 谈不上兼容问题 都是思科的设备因为他们的协议配合起来更好可能会好些至于多少台打印机 我个人认为 起码每个部门应该都有一台打印机 至于哪个部门的打印任务大 那就买台性能好的打印机 没什么要求的弄个HP 1020这种就行了.
静乐县13878948961: 公司40台电脑,用什么路由器比较好? - ?
松览利肝: 只是简单的浏览网页为基础的,我想思科的也不一定需要,好点的D-link就够了,要是机器多拉不动可以用老的电脑代理路由.毕竟思科的东西价格摆在那里中小企业不一定需要那么好
静乐县13878948961: 思科防火墙怎么连接家用路由器? - ?
松览利肝: 放在服务器前就ok.电信光收发→dlink家用路由器→dlink24口交换机→思科防火墙-->服务器.或者 电信光收发→思科防火墙→dlink家用路由器→dlink24口交换机-->服务器.任何位置
