|
|
CISCO PIX 防火墙建立穿越NAT的VPN几种解决方法
CISCO PIX 防火墙建立穿越NAT的VPN几种解决方法CISCO 防火墙建立穿越NAT的VPN几种解决方法
1.ipsec over tcp
该方法导致双方使用TCP端口通信,缺省端口是10000,只支持client方式。缺省被禁用,打开方法:
crypto isakmp ipsec-over-tcp
当实际环境中不常规VPN通信或NAT-T,IPSEC OVER UDP的时候使用。
2.NAT-T
该方法导致双方最终使用udp 4500端口通信,支持client,L2L 两种方式。缺省是被禁用的。打开方法:
crypto isakmp nat-traversal 20 ,缺省keepalives时间20秒
3.ipsec over udp
导致双方使用UDP通信,缺省端口10000,只支持client方式。缺省被禁用。打开方法
在组策略中配置
hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)#ipsec-udp-port 10000
上述三种方法都启用时候的优先级别: over tcp >NAT-T>over udp
With the exception of the home zone on the Cisco ASA 5505, the security appliance can simultaneously
support standard IPSec, IPSec over TCP, NAT-T, and IPSec over UDP, depending on the client with
which it is exchanging data. When both NAT-T and IPSec over UDP are enabled, NAT-T takes
precedence. IPSec over TCP, if enabled, takes precedence over all other connection methods.
When you enable NAT-T, the security appliance automatically opens port 4500 on all IPSec enabled
interfaces.
转自鸿鹄论坛:http://bbs.hh010.com/forum.php?mod=viewthread&tid=32050 |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-8-12 08:38:12
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2011-11-24 23:09:14
