IOS Easy VPN:使用Cisco Configuration Professional在任意埠上支援IPsec over TCP的配置示例

簡介

本檔案介紹如何設定Easy VPN(EzVPN)伺服器和使用者端以支援思科通道控制通訊協定(cTCP)。 此示例配置演示了在任何埠上通過TCP進行IPsec的配置。此功能在Cisco IOS^®軟體版本12.4(9)T中匯入，現在Cisco IOS軟體版本12.4(20)T和更新版本支援此功能。

Cisco隧道控制協定允許VPN客戶端在不允許使用標準ESP協定（埠50）或IKE協定（UDP埠500）的環境中運行。由於各種原因，防火牆無法允許ESP或IKE流量，這會阻止VPN通訊。cTCP解決了此問題，因為它將ESP和IKE流量封裝在TCP報頭中，這樣防火牆就不會看到它。

必要條件

需求

確保為客戶端連線配置了Easy VPN(EzVPN)伺服器。有關如何將Cisco IOS路由器配置為Easy VPN伺服器的資訊，請參閱使用Cisco配置專業版的Cisco IOS路由器作為Easy VPN伺服器配置示例。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 採用Cisco IOS軟體版本12.4(20)T的Cisco 1841路由器

• Cisco CP版本2.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供用於設定本文件中所述功能的資訊。

作為Easy VPN伺服器的Cisco IOS路由器

完成以下步驟，設定Cisco IOS路由器（Easy VPN伺服器）以支援連線埠10000上的cTCP:

1. 選擇Configure > Security > VPN > Easy VPN Server，然後按一下Global Settings以編輯Global Settings。

   

2. 勾選「Enable cTCP」覈取方塊以啟用cTCP。

   注意：預設情況下使用10000埠號。如果需要，可以更改埠號。

   

作為Easy VPN客戶端的Cisco IOS路由器

請完成以下步驟：

1. 選擇Configure > Security > VPN > Easy VPN Remote，然後按一下Edit以編輯cTCP配置的客戶端設定。

   

2. 按一下Firewall Bypass頁籤，然後在Automatic Firewall Bypass部分下指定Port Number和Keepalive時間（以秒為單位）。確保選中Enable Easy VPN access through firewall旁邊的覈取方塊。

   注意：預設情況下使用10000埠號。如果需要，可以更改埠號。與遠端管理員確認Easy VPN伺服器上使用的埠號，因為伺服器和客戶端必須使用相同的埠號。

   

3. 按一下OK以完成設定。

疑難排解

沒有適用於此組態的疑難排解資訊。

相關資訊

• Cisco Easy VPN問答
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems