- 积分
- 48
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2013-6-8
- 最后登录
- 1970-1-1
- 阅读权限
- 10
- 听众
- 收听
网络小学徒
|
1.ipsec over tcp
该方法导致双方使用TCP端口通信,缺省端口是10000,只支持client方式。缺省被禁用,打开方法:
crypto isakmp ipsec-over-tcp
当实际环境中不常规VPN通信或NAT-T,IPSEC OVER UDP的时候使用。
2.NAT-T
该方法导致双方最终使用udp 4500端口通信,支持client,L2L 两种方式。缺省是被禁用的。打开方法:
crypto isakmp nat-traversal 20 ,缺省keepalives时间20秒
3.ipsec over udp
导致双方使用UDP通信,缺省端口10000,只支持client方式。缺省被禁用。打开方法
在组策略中配置
hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)#ipsec-udp-port 10000
上述三种方法都启用时候的优先级别: over tcp >NAT-T>over udp
With the exception of the home zone on the Cisco ASA 5505, the security appliance can simultaneously
support standard IPSec, IPSec over TCP, NAT-T, and IPSec over UDP, depending on the client with
which it is exchanging data. When both NAT-T and IPSec over UDP are enabled, NAT-T takes
precedence. IPSec over TCP, if enabled, takes precedence over all other connection methods.
When you enable NAT-T, the security appliance automatically opens port 4500 on all IPSec enabled
interfaces.
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-6-25 16:24:50
置顶卡
喧嚣卡
变色卡
千斤顶
