IOS Easy VPN:Cisco Configuration Professional配置示例
简介
本文档介绍如何配置Easy VPN(EzVPN)服务器和客户端以支持思科隧道控制协议(cTCP)。 此配置示例展示了 IPSec over TCP 在任何端口上的配置。此功能在Cisco IOS®软件版本12.4(9)T中引入,现在在Cisco IOS软件版本12.4(20)T及更高版本中受支持。
思科隧道控制协议使VPN客户端能够在不允许标准ESP协议(端口50)或IKE协议(UDP端口500)的环境中运行。由于各种原因,防火墙无法允许ESP或IKE流量,这会阻止VPN通信。cTCP可解决此问题,因为它将ESP和IKE流量封装在TCP报头中,以便防火墙看不到它。
先决条件
要求
确保为客户端连接配置Easy VPN(EzVPN)服务器。有关如何将Cisco IOS路由器配置为Easy VPN服务器的信息,请参阅Cisco IOS路由器作为Easy VPN服务器使用Cisco Configuration Professional配置示例。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
带思科IOS软件版本12.4(20)T的思科1841路由器
-
Cisco CP 版本 2.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
配置
本部分提供有关如何配置本文档所述功能的信息。
Cisco IOS路由器作为Easy VPN服务器
要配置Cisco IOS路由器(Easy VPN服务器)以在端口10000上支持cTCP,请完成以下步骤:
-
选择Configure > Security > VPN > Easy VPN Server,然后单击Global Settings以编辑Global Settings。
-
选中Enable cTCP复选框以启用cTCP。
注意:默认情况下使用端口号10000。如果需要,可以更改端口号。
Cisco IOS路由器作为Easy VPN客户端
请完成以下步骤:
-
选择Configure > Security > VPN > Easy VPN Remote,然后单击Edit以编辑cTCP配置的客户端设置。
-
单击“Firewall Bypass”选项卡和“Automatic Firewall Bypass”部分下,并指定“Port Number”和“Keepalive时间(以秒为单位)。确保选中“通过防火墙启用Easy VPN访问”旁的复选框。
注意:默认情况下使用端口号10000。如果需要,可以更改端口号。请与远程管理员联系,以验证Easy VPN服务器上使用的端口号,因为服务器和客户端必须使用相同的端口号。
-
单击 OK 以完成配置。
故障排除
此配置没有可用的故障排除信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Dec-2013 |
初始版本 |
反馈