思科路由器实验配置?

来源:蜘蛛抓取(WebSpider) 时间:2022-05-08 01:11 标签: 思科路由器配置命令详解及实例

SSL VPN现在网络应用比较火的技术了,做系统网络维护的人都会接触到它的。它的优点是,客户端只要有浏览器就OK了,无需安装客户端软件,适合单一PC通过路由器连接总部VPN 服务器;无需考虑总部内部路由问题,因为所有的请求都是sslvpn服务器代理的,只要你和总部sslvpn有路由就可以了。保证了内部网络的一些安全。
SSL VPN的缺点是,只能做简单的几个应用,无法像IPSec vpn一样真正的接入内网跑任何的协议。扩展性不是很好。常见的应用都是在web上做的,不过现在的大部分应用都可以在web上解决,所以变的很火爆。

 2、客户端配置了IP,之后可以连接sslvpn了。

 3、在sslvpn上可以看到客户端连接情况。

 4、做一些扩展的配置:其中webvpn gateway上可以做的有端口转换、加密设置、手动指定证书……;在webvpn context上可以做的具体配置有主页相关的颜色图片之类的,关键是在conntext上可以做多个policy group,可以在每一个group上做具体的配置,然后应用到不同的AAA服务器上的组中。也就是对不同的组用户做了不同的策略了。

5、做一下简单的认证和审计工作。就是利用拓扑图中的ACS技术来做。就是把认真工作放到AAA服务器上去。比较简单的。

6、做一下sslvpn对不同用户的授权工作,首先要在AAA服务器上配置多好个组,把要分开权限的用户分别放到不同的组中,然后在路由器/13783/ 上建立不同的policy group,对应AAA上的组。关键是还的制定一个默认的group。问题的关键是如何把AAA服务器中的组和cisco路由器中的policy group名字关联起来,使用的是user-vpn-group=策略名  这个格式来做的。在AAA上用这个格式把组关联起来。然后策略其实是在路由器上做的,并不是在AAA上做的。

7、sslvpn是可以支持ftp协议的,你可以在sslvpn的主页中加入ftp的连接,让用户直接可以进入到ftp的内部查看文件,上传下载文件。

8、sslvpn最大的不足就是支持的协议有限,如何能让它支持原本不支持的协议呢?可以使用端口转换的技术,当你用IE登陆上vpn之后,你可以得到一个sslvpn服务器推送给你的代理,这个代理可以自动安装到IE上,其实代理也是你自己,并没有人给你当代理服务器,意思是什么呢?当你用IE拨sslvpn时,会自动下载java插件,这个插件可以控制IE,帮助你修改了IE的代理,当你再次用IE访问别的网站的时候,其实是你把请求发到了代理服务器上,代理服务器帮你做的请求,而代理服务器是你自己的一个端口,也就是说但你用IE去访问其他网站的时候,会先到你的某个端口上去访问,这个端口是在sslvpn上做了端口转换的,这个端口会被sslvpn转换成一个内网提供服务的服务器的端口,你就可以访问别的协议了。有一个要注意的是:sslvpn不是nat,也不是防火墙,不能转换变化的端口,类似ftp之类的在应用层协商的端口是无法转换的,只能静态转换一些固定不变的端口。

9、最后一个小实验是关于ACL的,这个ACL是控制sslvpn的acl。配置上变化不大,主要有一点要注意的,就是这个ACL是在conntext内部配置的,不是全局的acl,这种ACL是需要路由器作为核心的联机设备来参与的。是SSLVPN特有的alc。

  Cisco交换机Dot1x支持情况简述Cisco交换机支持标准的基于端口的802.1x认证,在网络上搜寻了一下好像还不支持基于MAC的802.1x认证。接下来是小编为大家收集的思科设备基本开局配置实验教程,希望能帮到大家。

  2、给路由器配置管理IP地址

  3、开启设备的远程管理功能

  4、给交换机配置管理IP地址

  5、开启交换机远程管理

  (注:使用这种方法验证不需要设置特权模式密码)

  6、分别在SW1和R1上做远程管理测试

  7、配置控制台密码

看了“思科设备基本开局配置实验教程”还想看:

我要回帖

更多关于 思科路由器配置命令详解及实例 的文章

 

随机推荐