cisco client设置

cisco是CISCO PIX防火墙提供的功能，用户通过CISCOclient软件连接到CISCO PIX防火墙，利用IPSEC协议建立加密的安全隧道。那么在cisco 中如何配置client客户端？读文网小编整理了相关资料，供大家参考。

cisco client设置教程如下：

1、安装CISCO IPSEC 客户端

解压下载的安装包后,点击-client-2.2.2-release.exe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可.

包里一共有三个文件,sites目录包含卓越配置文件,bat结尾的为脚本文件，用来启动ipsec客户端的，可以把它拷到桌面便于启用。

2、输入用户名和密码

右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件。

3、填入信息

输入你的用户名和密码，切记不要编辑未提及的其它参数。

4、开始连接

保存修改好的配置文件后,直接双击卓越-ipsec.bat即可开始通过CISCO IPSEC连接。

5、更换服务器地址

如果服务器无法连接或因为别的原因需要更换服务器。

【实例验证】

试验说明;R1为SKY公司的网关，其F1/0接口连接互联网，用户现在出差在外，通过拨号连接到互联网上，现在希望实现用户通过internet拨号进入SKY公司的R1路由器上，拨号使用easy ，并能连接到SKY公司的内网，192.168.0.0/24 网段

需求拓扑：

实验要求;

1，通过cisco client 拨上R1，需要ping通R1的网关的地址，

2，拨入成功之后，可以ping通 192.168.0.2，能访问内网服务器上的共享资源

实验过程：

第一步 R1预配置

R1(configintf0/0

R1(config-ifipadd 192.168.0.1 255.255.255.0

R1(config-ifnosh

R1(config-ifinte1/0

R1(config-ifipadd 192.168.1.200 255.255.255.0

R1(config-ifnosh

R1(config-if)#end

R1ping192.168.1.101

// 在本实验中PC机的IP地址是192.168.1.101

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms

R1#

第二步 配置认证策略

Rconft

R1(configaaanew-model

// 激活AAA

R1(configaaaauthorization network -client-user local

// 配置对远程接入IPSec连接的授权，组名为-client-user

第三步 定义用户的组策略

R1(configiplocal pool DHCP 192.168.0.100 192.168.0.150

// 配置一个内部地址池，用于分配IP地址到远程接入的客户端，在本实验中地址池的起始地址为192.168.0.100，终止的IP地址为192.168.0.150，在后面的组策略中会引用改地址池

R1(configcryptoisakmp client configuration group -client-user

// 配置远程接入组，组名为-client-user，此组名与aaa authorization network命令中的名称一致

R1(config-isakmp-group)keynorvel.com.cn

// 配置IKE阶段1使用预共享密钥，密钥为norvel.com.cn

R1(config-isakmp-grouppoolDHCP

// 配置在客户端连接的Easy client所分配的IP地址池

R1(config-isakmp-groupdns221.11.1.67

// 给客户端分配DNS地址

R1(config-isakmp-groupdomainnorvel.com.cn

// 配置分配给客户端的DNS域名

R1(config-isakmp-group)#exit

R1(config)#

第四步 配置IKE阶段1策略

R1(configcryptoisakmp policy 10

R1(config-isakmpauthenticationpre-share

R1(config-isakmpencryption3des

R1(config-isakmp)group2

R1(config-isakmphashsha

R1(config-isakmp)#exit

R1(config)#end

R1showcrypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: Three key triple DES

hash algorithm: Secure Hash Standard

authentication method: Pre-Shared Key

Diffie-Hellman group:2(1024 bit)

lifetime: 86400 seconds, no volume limit

Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature

Diffie-Hellman group:1(768 bit)

lifetime: 86400 seconds, no volume limit

第五步 配置动态加密映射

Rconft

R1(configcryptoipsec transform-set R1 esp-sha-hmac esp-3des

// 配置名为R1的转换集

R1(CFg-crypto-trans)#exit

R1(configcryptodynamic-map dy 10

// 配置名为dy的动态加密映射

R1(config-crypto-mapsettransform-set R1

R1(config-crypto-map)#reverse-route

//Reverse-route 生成的两条路由,不配置这条命令，是无法ping内网的设备192.168.0.2

R1(config-crypto-map)#exit

第六步 配置静态加密映射

R1(configcryptomap dy isakmp authorization list -client-user

// 指定应该为远程接入连接执行的授权，这里的-client-user名称必须与aaa authorization network命令中的相同

R1(configcryptomap dy client configuration address respond

// 配置允许路由器将信息分配给远程接入客户端，respond参数使路由器等待客户端提示发送这些信息，然后路由器使用策略信息来回应

R1(configcryptomap dy 1 ipsec-isakmp dynamic dy

// 配置在静态映射条目中关联动态加密映射

第七步 在接口上激活静态加密映射

R1(configinte1/0

R1(config-ifcryptomap dy

R1(config-if)# ^Z

第八步 在PC机上打开Cisco Client进行配置，点击New创建一个新的连接

第九步 在连接中进行配置，连接名填写easy，主机填写 Server 192.168.1.200，name填写-client-user，密码填写norvel.com.cn

第十步 测试连接，选中easy，点击Connect

第十一步 连接成功后查看连接的统计信息

第十二步 在 R1上查看相关信息

R1showcrypto ipsec sa

interface: Ethernet1/0

Crypto map tag: dy, local addr 192.168.1.200

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (192.168.0.100/255.255.255.255/0/0)

current_peer 192.168.1.101 port 1141

PERMIT, flags={}