下面是我copy的其中一个!
思科路由器配置
文章来源:宁波邦元培训网 作者:曹老师 点击次数:199 更新时间:2012-4-22
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们在这里就成了一个比较重要的一个角色了。
Remote 设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco 3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server 端建立链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
前面我们也讲解过如何在路由器上面配置Remote ,那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote 呢。
第一步:建立一个地址池。
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。
QUANMA-T(config)# ip local pool pool 19216810100-19216810199 mask 2552552550
第二步:建立IKE第一阶段。
QUANMA-T(config)# isakmp policy 1
QUANMA-T(config-isakmp-policy)# authentication pre-share
QUANMA-T(config-isakmp-policy)# encryption 3des
QUANMA-T(config-isakmp-policy)# hash sha
QUANMA-T(config-isakmp-policy)# group 2
QUANMA-T(config-isakmp-policy)# lifetime 43200
QUANMA-T(config-isakmp-policy)# exit
第三步:将IKE第一阶段应用在outside接口上面。
QUANMA-T(config)# isakmp enable outside
第四步:定义转换集
QUANMA-T(config)# crypto ipsec transform-set set esp-3des esp-sha-hmac
这里设置的转换集名字为set。
第五步:动态加密映射配置
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set transform-set set
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set reverse-route
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
第六步:在静态加密映射中调用动态加密映射并应用在接口上面
QUANMA-T(config)# crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
QUANMA-T(config)# crypto map outside-map interface outside
第七步:NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
QUANMA-T(config)# sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为client的组策略。
QUANMA-T(config)# group-policy client internal
QUANMA-T(config)# group-policy client attributes
QUANMA-T(config-group-policy)# dns-server value 61139269
QUANMA-T(config-group-policy)# -tunnel-protocol ipsec
QUANMA-T(config-group-policy)# default-domain value liutycn
QUANMA-T(config-group-policy)# exit
第十步:遂道组的建立以属性的设置
QUANMA-T(config)# tunnel-group client type ipsec-ra
QUANMA-T(config)# tunnel-group client ipsec-attributes
QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123
QUANMA-T(config-tunnel-ipsec)# exit
QUANMA-T(config)# tunnel-group client general-attributes
QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
QUANMA-T(config-tunnel-general)# default-group-policy client
QUANMA-T(config-tunnel-general)# address-pool pool
QUANMA-T(config-tunnel-general)# exit
而在这里client就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问:
QUANMA-T(config)# username liuty password yjtfpddc
QUANMA-T(config)# username liuty attributes
QUANMA-T(config-username)# -group-policy client
QUANMA-T(config-username)# exit
第十二步:配置NAT免除
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
QUANMA-T(config)# access-list no-nat extended permit ip 19216800 2552552550 192168100 2552552550
QUANMA-T(config)# nat (inside) 0 access-list no-nat
第十三步:遂道分离设置
QUANMA-T(config)#access-list client_splitTunnelAcl standard permit 19216800 2552552550
QUANMA-T(config)# group-policy client attributes
QUANMA-T(config-group-policy)# split-tunnel-policy tunnelspecified
QUANMA-T(config-group-policy)# split-tunnel-network-list value client_splitTunnelAcl
QUANMA-T(config-group-policy)# end
第十四步:保存
QUANMA-T#write memory
PC和3台路由器能互相ping通,先要知道对端3台路由器的地址是处在哪三个网段,然后对应配置本地交换机的3个接口地址使之处在同一网段,主要是在三层交换机上配上到各路由器的路由就行了。
比如3台路由器分别在1110,2220,3330这三个网段,PC在19216810网段(如图)
PC地址19216812,网关19216811
交换机配置:
Switch>
Switch>en
Switch#conf t
Switch(config)#interface f0/2
Switch(config-if)#no switchport
Switch(config-if)#ip add
Switch(config-if)#ip address 1111 2552552550
Switch(config-if)#no sh
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#inter
Switch(config)#interface f0/3
Switch(config-if)#ip add
Switch(config-if)#no switchport
Switch(config-if)#ip address 2221 2552552550
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int f0/4
Switch(config-if)#no switchport
Switch(config-if)#ip address 3331 2552552550
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip route 0000 0000 1112
Switch(config)#ip route 0000 0000 2222
Switch(config)#ip route 0000 0000 3332
Switch(config)#end
Switch(config)#int vlan 1
Switch(config-if)#ip add 19216811 2552552550
Switch(config-if)#no shutdown
------------------------------------------------
路由器1:
Router>
Router>en
Router#conf t
Router(config)#interface f0/0
Router(config-if)#ip address 1112 2552552550
Router(config-if)#no shutdown
Router(config-if)#exi
Router(config)#ip route 19216810 2552552550 1111
------------------------------------------------
路由器2:
Router>
Router>en
Router#conf t
Router(config)#interface f0/0
Router(config-if)#ip address 2222 2552552550
Router(config-if)#no shutdown
Router(config-if)#exi
Router(config)#ip route 19216810 2552552550 2221
------------------------------------------------
路由器3:
Router>
Router>en
Router#conf t
Router(config)#interface f0/0
Router(config-if)#ip address 3332 2552552550
Router(config-if)#no shutdown
Router(config-if)#exi
Router(config)#ip route 19216810 2552552550 3331
这样就能都ping通了,我自己帮你配好了,很简单的哈!
Tracert命令。Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP数据包访问目标所采取的路径。Tracert命令使用用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由数据。一般用ssh远程登录 *** 作。可以依据 ssh 端口号,登录另一台服务器以访问另一台的根目录文件。1 确认另一台服务器的 ssh 端口号。
2 依据目标服务器的 ip 地址,端口号,用户名和密码登录远程服务器。
3 使用 cd 命令进入根目录文件。
例如:
ssh [username]@[server ip address] -p [ssh port number]
登录成功之后,输入cd /root 或 cd / 以进入根目录文件夹。首先在数据库服务器上设置mysql可以远程访问,其次打开数据库服务器所在的linux系统上的防火墙策略添加3306端口,最后配置网络环境让2台机器可以进行通信。
其它java工程配置数据库的ip和用户名密码即可。interface GigabitEthernet0/2
nat server protocol tcp global 114255xx7 >到网上下载微软小工具pstools,它有12个命令组成(都是远程控制命令),其中有一条命令
”Psinfo
-d
\\远程机器IP地址
-u
用户名
-p
密码”,磁盘空间信息一览无余。 在实际运用中在当前服务器执行命令后,需要在另一台服务器继续执行某些命令,分开去到另一台服务器执行也是比较麻烦的,因此整理下集中执行的方式
1、首先配置ssh免密 *** 作
Linux 下实现SSH互信: >
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)