Implementing the Cisco VPN Client

Cisco客户端的VPN接入
CISCO Easy VPN为各种远程用户提供了一种快速、有效、安全的服务配置手段。

利用IKE模式配置功能将配置参数推送给客户端，客户端就能学到一套IKE策略和IPSEC变换集，保证所有客户端在建立连接之前都能与最新的策略保持一致。

●服务器端SERVER
1.设置IPSEC策略。

( IKE IPSEC 应用接口)
2.组策略查找方式及扩展验证。

( 本地AAA服务器)
用户：a aaaaaa； b bbbbbb
3.建立组策略。

组名组密钥地址池
xiaoshou ccnp123 172.16.30.1---10
jishu ccie123 172.16.60.1--10
●VPN Client 移动用户（远程办公用户）
1.服务器IP地址。

2.身份验证。

( 组名组密钥)
综合实验：
一、VPN服务器端的设置
二、VPN-client端的设置
在PC上安装CISCO VPN客户端，配置服务器的IP地址和组用户共享密钥，接下来进行用户身份验证，验证通过后获取私网IP地址，并下载IPSEC安全策略。

然后，即可进行VPN通信。

说明: 若外网卡为私有地址( 在局域网内或宾馆)，需启用VPN穿越NAT。

连接、查看与验证.
R1# sh user 查看当前用户。

CiscoVPN客户端常见错误说明及解决方案第一篇：Cisco VPN客户端常见错误说明及解决方案VPN客户端常见错误说明及解决方案 1 VPN打开后自动缩到任务栏，整个GUI界面无法显示原因：vpn配置文件vpnclient.ini中的WindowX，WindowY值被修改超级大，超出屏幕界面[main] ClientLanguage= [GUI] DefaultConnectionEntry=Avnet VPN-Americas WindowWidth=600 WindowHeight=330 WindowX=245000 WindowY=245000 VisibleTab=0 ConnectionAttribute=0 AdvancedView=1 LogWindowWidth=0 LogWindowHeight=0 LogWindowX=0 LogWindowY=0 解决方案：在客户端安装目录下找到，把它修改为WindowX=75、WindowY=75，恢复正常。

错误代码56原因：VPN的服务被关闭解决方案：计算机----> 管理------->服务和应用程序-----> 服务----->Cisco Systems, Inc.VPN Service----->右键--------->启动 OK 如果遇到启动一会后就被kill ：cvpnd服务是被Internet Connection Sharing(ICS)服务kill掉的： 1.将Internet Connection Sharing服务类型设置为手动。

2.停止Internet Connection Sharing服务。

3.启动Cisco System, Inc.VPN Service。

另外，如果在连接的时候，报了无法启用虚拟网卡的错误，需要先取消物理网卡的共享(停止Internet Connection Sharing服务)，再连就OK了。

Cisco-VPN--Client使⽤说明Cisco VPN Client使⽤⼿册1、安装客户端软件双击运⾏如下压缩包跳出如下解压框点击“Unzip”，等待出现如下提⽰解压成功框点击“确定”，软件会⾃动跳出安装提⽰框，如下：选择“English”，点击“OK”开始⾃动安装程序，等待弹出如下提⽰框点击“Next> ”，进⼊下⼀步在中间的单选框中选择第⼀项“I accept the license agreement”，然后点击“Next>”，进⼊下⼀步如下图：直接点击“Next>”，在进⼊下⼀步再次直接点击“Next>”，在进⼊下⼀步，开始主动安装，如下：等待⼏分钟，直到出现如下提⽰框点击“Finish”，结束安装。

最后跳出重新启动主机的提⽰框，如下：点击“Yes”，重新启动计算机（注：请在点击Yes前保存并关闭计算机上的当前打开的相关⼯作或应⽤，避免本次重启导致丢失数据。

）2、Cisco vpn Client（Cisco VPN客户端软件）的使⽤点击“开始”菜单——》“程序”——》Cisco Systems VPN Client——》VPN client出现欢迎界⾯，然后出现如下提⽰框点击第⼆个按钮“New”，弹出如下框然如下框内容填写点击“Save”按钮保存配置，然后⾃跳回主菜单，如下：点击菜单上的第⼀个按钮“Connect”，弹出⼀个验证框，如下：在如下框中分别输⼊你的VPN 帐户和⼝令点击“OK”按钮，登录。

登录成功后，在任何栏的右下⾓有⼀个合上的⼩锁，表⽰登录成功。

此时你可以分⽂单位的内部资源。

3、VPN连接的断开双击右下⾓任务栏中的那把⼩锁图标，弹出软件主菜单，如下点击上菜单中第⼀个图标“Disconnect”，等待VPN连接断开完成，点击右上⾓的X,关闭此窗⼝。

浙工大VPN系统与Internet 接入系统使用说明2005年2月1日起试运行浙江工业大学VPN系统可以通过公共网络连接上工大校园内部专用网络，实现用户访问远程数据。

以下是思科VPN客户端安装和使用的图解说明，以windows 2000为操作系统，其他操作系统类同。

1.下载客户端/download/client.rar2.解压缩文件到CISCO VPN CLIENT文件夹。

打开CISCO VPN CLIENT文件夹，双击“setup”文件进行客户端的安装（如图1所示）：（图1）安装引导界面如图2所示：（图2）进入安装界面后，显示软件的安装欢迎界面，点击“next”继续（如图3所示）：（图3）点击安装界面的“Browse”按钮（如图4所示），会弹出一个文件夹选择页面，可以在“Path”里直接输入要安装的文件夹，也可以在目录里选择安装目录：（图4）选择好安装目录之后点击“确定”按钮，然后单击“Next”继续安装。

这里会提示你安装程序会在“开始”－“程序”菜单里会建立的文件夹名称，可以自己修改需要的名称（如图5所示）：（图5）点击“Next”进入程序的安装过程，等待一段时间就可以完成安装（如图6所示）。

（图6）安装完成后，安装程序会提示进行网络设置的升级（如图7所示）和安装cisco 网络适配器（如图8所示），你可以在“网上邻居”－“属性”里发现添加了一个本地连接。

（图7）（图8）网络设置升级以后，会出现MSDOS界面（如图9所示），对安装文件进行处理，很快就进入安装完成的提示界面。

（图9）选择第一项进行重启，选择第二项可以稍后手动重新启动计算机。

（图10）计算机重新启动之后，你可以在“开始”－“程序”－“Cisco Systems VPN Client”－“VPN Client”来启动cisco vpn client。

启动之后的客户端界面如下图所示，点击工具条上的“New”按钮来新建一个VPN连接。

Cisco VPN 完全配置指南五、SSL VPN以前讨论了IPSec 、PPTP 和L2TP VPN ，所有的这种3层VPN 提供了网络层的保护：它们可以保护网络层和更高层流量。

然而，它们的一个缺点是，它们需要特殊的软件安装在客户端的设备上，甚至需要培训用户如何使用。

安全套接字层（SSL ）开始作为一种协议来保护终端用户设备和WEB 服务器之间的WEB （HTTP ）流量，通常，它用于在电子商务站。

SSL VPN 与其它3种VPN 相比一个优点就是不需要VPN 软件安装在用户的桌面上，可以使用已安装的WEB 浏览器。

SSL 市场上正在新兴的VPN 实施，它为远程访问解决方案而设计的，并不提供站点到站点的连接，SSL VPN 主要提供基于WEB 的应用程序的安全访问。

因为SSL 使用一个WEB 浏览器，用户通常不需要在他们的桌面上安装任何特殊的客户端软件。

SSL VPN 操作在OSI 参考模型的会话层，因为客户端是一个WEB 浏览器，默认情况下，只有那些支持WEB 浏览器的应用程序和VPN 方案一起工作。

因此，应用程序，如telnet 、FTP 、FTP 、SMTP 、POP3、多媒体、IP 电话、远程桌面控制，和其它的应用程序都不会和SSL VPN 一起工作，因为它们不使用WEB 浏览器作为它们的前端用户接口。

当然，许多厂商使用JAVA 或ActiveX 来增强SSL VPN ，使其支持非HTTP 的应用程序，比如POP3和SMTP E-mail 客户端，以及微软的windows 文件和打印共享。

除此之外，还有其它功能，cisco 将它们的SSL VPN 称为WEB VPN 。

有3种常见的SSL 客户实施类型¾ 无客户的¾ Thin 客户¾ 网络客户因为只有一台WEB 浏览器需要安装在用户的桌面上，SSL VPN 客户通常也被称为“无客户的”或“WEB 化”的，因此，当只有WEB 浏览器用于SSL VPN 的时候，SSL VPN 有时候也被称为无客户的VPN 或WEB VPN ，无客户的VPN 的主要缺点是只有WEB 流量可以保护。

VPN Client 客户端安装及设置步骤VPN Client 客户端软件安装：1.双击VPN Client客户端软件并点击如下图中标红的按按钮：2．点击下图中的“确定”按钮3.选择VPN Client客户端软件的语言如下图选择”English”4.如下图选择下一步“Next”按钮5选择如下图所选按钮“I accept the license agreement”按钮6.如下图选择“Next”或者更改安装路径7.如下图选择“Next”按钮8.下图为软件安装过程9.下图为软件安装结束提示，点击“Fninsh”按钮10.安装完VPN Client 客户端软件后会出现重启系统提示，如下图点击“Yes”按钮，系统将自动重启（说明：如果是64位操作系统则安装支持64位的客户端软件）。

VPN Client 客户端软件设置步骤：1.开始----所用程序----Cisco Systems VPN Client----VPN Client运行客户端软件2.如下图所示，点图中标红按钮新建一个连接3.如下图，填写新建连接的参数，下图中“Connextion Entry”方框中可随意填写，“Host”方框中填写地址为要连接的防火墙的外接口地址202.97.153.190，“Name”方框中为隧道组的名称为ycu，Password为pre-shared-key密码，该配置中密码为：cisco4.会话建立后会出现如下图界面，右击下图中所示的连接名称并点击“Connect”户名和密码后点击OK，例如连接中用户名test和密码123测试。

6.VPN建立成功后会在系统右下角出现如下图所示的小锁图标到此为止VPN连接成功，已经与内网建立连接，用户可以与公司总部内网直接通信，其通信中的数据都是经过加密的。

CiscoVPN完全配置指南CiscoVPN完全配置指南第⼀部分 VPN1 VPN概述1.1 流量问题1.1.1 窃听攻击1.1.2 伪装攻击1.1.3 中间⼈攻击1.2 VPN定义1.2.1 VPN描述1.2.2 VPN连接模式1.2.3 VPN类型1.2.4 VPN分类1.3 VPN组件1.3.1 验证1.3.2 封装⽅法1.3.3 数据加密1.3.4 数据包的完整性1.3.5 密钥管理1.3.6 抗抵赖性1.3.7 应⽤程序和协议的⽀持1.3.8 地址管理1.4 VPN设计1.4.1 连接类型1.4.2 VPN考虑1.4.3 冗余1.5 VPN实施1.5.1 GRE1.5.2 IPSec1.5.3 PPTP1.5.4 L2TP1.5.5 MPLS1.5.6 SSL1.6 VPN：选择解决⽅案1.6.1 安全性1.6.2 实施、管理和⽀持1.6.3 ⾼可靠性1.6.4 扩展性和灵活性1.6.5 费⽤1.7 总结2 VPN技术2.1 密钥2.1.1 密钥的使⽤2.1.2 对称密钥2.1.3 ⾮对称密钥2.2 加密2.2.1 加密的过程2.2.2 加密算法2.3 数据包验证2.3.1 数据包验证的实施2.3.2 数据包验证的使⽤2.3.3 数据包验证的问题2.4 密钥交换2.4.1 密钥共享的困惑2.4.2 Diffie-HellMan（赫尔曼算法）2.4.3 密钥刷新2.4.4 密钥交换⽅法的限制2.5 验证⽅法2.5.1 中间⼈攻击2.5.2 验证的解决⽅案2.5.3 设备验证2.5.4 ⽤户验证2.6 总结3 IPSec3.1 IPSec标准3.1.1 IETF RFC3.1.2 IPSec连接3.1.3 构建连接的基本过程3.2 ISAKMP/IKE阶段13.2.1 管理连接3.2.2 密钥交换协议：Diffie-Hellman3.2.3 设备验证3.2.4 远程访问额外的步骤3.3 ISAKMP/IKE阶段23.3.1 ISAKMP/IKE阶段2组件3.3.2 阶段2安全协议3.3.3 阶段2的连接模式3.3.4 阶段2的传输集3.3.5 数据连接3.4 IPSec流量和⽹络3.4.1 IPSec和地址转换3.4.2 IPSec和防⽕墙3.4.3 使⽤IPSec的其他问题3.5 总结4 PPTP和L2TP4.1 PPTP4.1.1 PPP回顾4.1.2 PPTP组件4.1.3 PPTP是如何⼯作的4.1.4 使⽤PPTP的问题4.2 L2TP4.2.1 L2TP概述4.2.2 L2TP操作4.2.3 L2TP/IPSec和PPTP的⽐较4.3 总结5 SSL VPN5.1 SSL回顾5.1.1 SSL客户实施5.1.2 SSL保护5.1.3 SSL组件5.2 什么时候使⽤SSL VPN 5.2.1 SSL VPN的好处5.2.2 SSL VPN的缺点5.3 Cisco的WebVPN解决⽅案5.3.1 VPN 3000系列集中器5.3.2 WebVPN的操作5.3.3 Web访问5.3.4 ⽹络浏览和⽂件管理访问5.3.5 应⽤程序访问和端⼝转发5.3.6 E-mail客户的访问5.4 总结第⼆部分集中器6 集中器产品信息6.1 集中器的型号6.1.1 3005集中器6.1.2 3015集中器6.1.3 3020集中器6.1.4 3030集中器6.1.5 3060集中器6.1.6 3080集中器6.1.7 集中器型号的⽐较6.2 集中器的模块6.2.1 SEP模块6.2.2 SEP操作6.3 集中器的特性6.3.1 版本3.5特性6.3.2 版本3.6特性6.3.3 版本4.0特性6.3.4 版本4.1特性6.3.5 版本4.7特性6.4 介绍对集中器的访问6.4.1 命令⾏接⼝6.4.2 图形⽤户接⼝6.5 总结7 使⽤IPSec实现集中器的远程访问接7.1 控制对集中器的远程访问会话7.1.1 组的配置7.1.2 ⽤户配置7.2 IPSec远程访问7.2.1 ISAKMP/IKE阶段1：IKE建议7.2.2 ISAKMP/IKE阶段1：设备验证7.2.3 ISAKMP/IKE阶段1：IPSec标签7.2.4 ISAKMP/IKE阶段1：Mode/Client Config标签7.2.5 ISAKMP/IKE阶段1：Client FW标签7.2.6 ISAKMP/IKE阶段2：数据SA7.3 对于IPSec和L2TP/IPSec⽤户的⽹络访问控制（NAC）7.3.1 对于IPSec，NAC的全局配置7.3.2 NAC的组配置7.4 总结8 使⽤PPTP、L2TP和WebVPN实现集中器远程接8.1 PPTP和L2TP远程访问8.1.1 PPTP和L2TP组配置8.1.2 PPTP全局配置8.1.3 L2TP全局配置8.2 WebVPN远程访问8.2.1 HTTPS访问8.2.2 WebVPN全局配置8.2.3 组配置8.2.4 SSL VPN客户端（SSL VPN客户，SVC）8.2.5 ⽤于WebVPN访问的Cisco安全桌⾯8.3 总结9 集中器站点到站点的连接9.1 L2L连接例⼦9.2 ISAKMP/IKE阶段1准备9.2.1 现有的IKE策略9.2.2 IKE策略屏幕9.3 增加站点到站点的连接9.3.1 添加L2L会话9.3.2 完成L2L会话9.3.3 修改L2L会话9.4 地址转换和L2L会话9.4.1 介绍集中器地址转换的能⼒9.4.2 需要L2L地址转换的例⼦9.4.3 建⽴L2L地址转换规则9.4.4 启动L2L地址转换9.5 总结10 集中器的管理10.1 带宽管理10.1.1 建⽴带宽策略10.2 集中器上的路由选择10.2.1 静态路由选择10.2.2 RIP路由选择协议10.2.3 OSPF路由选择协议10.3 机箱冗余10.3.1 VRRP10.4 管理屏幕10.4.1 Administrator Access（管理员访问）10.4.2 集中器的升级10.4.3 ⽂件管理10.5 总结11 验证和故障诊断与排除集中器的接11.1 集中器的⼯具11.1.1 系统状态11.1.2 VPN会话11.1.3 事件⽇志11.1.4 监控统计信息屏幕11.2 故障诊断与排除问题11.2.1 ISAKMP/IKE阶段1的问题11.2.2 ISAKMP/IKE阶段2的问题11. 3总结第三部分客户端12 Cisco VPN软件客户端12.1 Cisco VPN客户端的概述12.1.1 Cisco VPN客户端的特性12.1.2 Cisco VPN客户端的安装12.2 Cisco VPN客户端接⼝12.2.1 操作模式12.2.2 喜好12.2.3 先进模式⼯具栏按钮和标签选项12.3 IPSec连接12.3.1 使⽤预共享密钥建⽴连接12.3.2 使⽤证书建⽴连接12.3.3 其他的连接配置选项12.3.4 连接到⼀台Easy VPN服务器12.3.6 断开连接12.4 VPN客户端的GUI选项12.4.1 Application Launcher（应⽤程序发起器）12.4.2 Windows Login Properties（Windows登录属性）12.4.3 Automatic Initiation（⾃动发起）12.4.4 Stateful Firewall（状态防⽕墙）12.5 VPN客户端软件的更新12.5.1 集中器：客户端更新12.5.2 对于Windows 2000和XP的VPN客户端的⾃动更新的准备12.5.3 客户端的更新过程12.6 VPN客户端的故障诊断与排除12.6.1 ⽇志查看器12.6.2 验证问题12.6.3 ISAKMP/IKE策略不匹配的问题12.6.4 地址分配的故障诊断与排除12.6.5 分离隧道问题12.6.6 地址转换问题12.6.7 碎⽚问题12.6.8 Microsoft的⽹络邻居问题12.7 总结13 Windows软件客户端13.1 Windows客户端13.1.1 理解Windows客户端的特性13.1.2 验证Windows客户端是可操作的13.2 配置Windows VPN客户端13.2.1 建⽴⼀个安全的策略13.2.2 需要使⽤L2TP13.2.3 建⽴⼀个Microsoft的VPN连接13.3 配置VPN 3000集中器13.3.1 IKE建议13.3.2 IPSec SA13.3.3 组配置13.3.4 地址管理13.3.5 ⽤户配置13.4 Microsoft客户端的连接13.4.1 连接到VPN⽹关13.4.2 核实PC上的连接13.4.3 核实集中器上的连接13.5 故障诊断与排除VPN的连接13.5.1 集中器故障诊断与排除⼯具13.5.2 Microsoft的客户端故障诊断与排除⼯具13.6 总结14 3002硬件客户端14.1 3002硬件客户端概览14.1.1 3002的特性14.1.2 3002型号14.1.3 3002的实施14.2 对于3002的初始访问14.2.1 命令⾏接⼝14.2.2 图形⽤户接⼝14.3 验证和连接选项14.3.1 单元验证14.3.2 额外的验证选项14.4 连接模式14.4.1 客户模式14.4.2 ⽹络扩展模式14.4.3 路由和反向路由注⼊14.5 管理任务14.5.1 从公有接⼝上访问300214.5.2 升级300214.6 总结第四部分 IOS路由器15 路由器产品信息15.1 路由器实施场景15.1.1 L2L和远程访问连接15.1.2 路由器的特殊能⼒15.2 路由器产品概述15.3 总结16 路由器的ISAKMP/IKE阶段1连接16.1 IPSec的准备16.1.1 收集信息16.1.2 允许IPSec的流量16.2 ISAKMP/IKE阶段1策略16.2.1 启动ISAKMP16.2.2 建⽴策略16.2.3 与对等体协商策略16.2.4 启动IKE死亡对等体检测16.3 ISAKMP/IKE阶段1设备验证16.3.1 ISAKMP/IKE⾝份类型16.3.2 预共享密钥16.3.3 RSA加密的随机数16.3.4 数字证书和路由器的注册16.4 监控和管理管理连接16.4.1 查看ISAKMP/IKE阶段1的连接16.4.2 管理ISAKMP/IKE阶段1的连接16.4.3 路由器作为证书授权16.4.4 步骤1：产⽣和导出RSA密钥信息16.4.5 步骤2：启动CA16.4.6 步骤3：定义额外的CA参数16.4.7 步骤4：处理申请请求16.4.8 步骤5：吊销⾝份证书16.4.9 步骤6：配置⼀台服务器使其运⾏在RA的模式16.4.10 步骤7：备份⼀个CA16.4.11 步骤8：恢复⼀个CA16.4.12 步骤9：清除CA服务16.5 总结17 路由器站点到站点连接17.1 ISAKMP/IKE阶段2配置17.1.1 定义被保护的流量：Crypto ACL17.1.2 定义保护⽅法：Transform Set（传输集）17.1.3 构建⼀个静态的Crypto Map条⽬17.1.4 构建⼀个动态的Crypto Map17.1.5 可区分的基于名字的Crypto Map17.2 查看和管理连接17.2.1 查看IPSec的数据SA17.2.2 管理IPSec数据SA17.3 站点到站点连接的问题17.3.1 迁移到⼀个基于IPSec的设计17.3.2 过滤IPSec的流量17.3.3 地址转换和状态防⽕墙17.3.4 ⾮单播流量17.3.5 配置简化17.3.6 IPSec冗余17.3.7 L2L扩展性17.4 总结18 路由器远程访问连接18.1 Easy VPN服务器18.1.1 Easy VPN服务器的配置18.1.2 VPN组监控18.1.3 Easy VPN服务器配置例⼦18.2 Easy VPN远端18.2.1 Easy VPN远端连接模式18.2.2 Easy VPN远端配置18.2.3 Easy VPN远端配置的例⼦18.3 在同⼀路由器上的IPSec远程访问和L2L会话18.3.1 中⼼办公室路由器的配置18.3.2 远程访问和L2L样例配置18.4 WebVPN18.4.1 WebVPN建⽴18.4.2 WebVPN配置例⼦18.5 总结19 路由器连接的故障诊断与除19.1 ISAKMP/IKE阶段1连接19.1.1 阶段1命令的回顾19.1.2 show crypto isakmp sa命令19.1.3 debug crypto isakmp命令19.1.4 debug crypto pki命令19.1.5 debug crypto engine命令19.2 ISAKMP/IKE阶段2连接19.2.1 阶段2命令的回顾19.2.2 show crypto engine connection active命令19.2.3 show crypto ipsec sa命令19.2.4 debug crypto ipsec命令19.3 新的IPSec故障诊断与排除特性19.3.1 IPSec VPN监控特性19.3.2 清除Crypto会话19.3.3 ⽆效的安全参数索引恢复特性19.4 碎⽚问题19.4.1 碎⽚问题19.4.2 碎⽚发现19.4.3 碎⽚问题的解决⽅案19.5 总结第五部分防⽕墙20 PIX和ASA产品信息20.1 PIX实施场景20.1.1 L2L和远程访问连接20.1.2 PIX和ASA的特殊能⼒20.2 PIX和ASA的特性和产品回顾20.2.1 PIX和ASA VPN特性20.2.2 PIX型号20.2.3 ASA型号20.3 总结21 PIX和ASA站点到站点的连接21.1 ISAKMP/IKE阶段1管理连接21.1.1 允许IPSec的流量21.1.2 建⽴ISAKMP21.1.3 配置管理连接的策略21.1.4 配置设备验证21.2 ISAKMP/IKE阶段2数据连接21.2.1 指定被保护的流量21.2.2 定义如何保护流量21.2.3 构建Crypto Map21.2.4 激活⼀个Crypto Map21.2.5 数据连接管理命令21.3 L2L连接例⼦21.3.1 FOS 6.3 L2L的例⼦21.3.2 FOS 7.0 L2L的例⼦21.4 总结22 PIX和ASA远程访问连接22.1 6.x对于Easy VPN服务器的⽀持22.1.1 6.x的Easy VPN服务器的配置22.1.2 6.x的Easy VPN服务器的例⼦22.2 6.x的Easy VPN远端⽀持22.2.1 6.x的Easy VPN远端配置22.2.2 使⽤证书作为远程访问22.2.3 核实您的6.x远端配置和连接22.2.4 6.x的Easy VPN远端设备的例⼦配置22.3 对于7.0的Easy VPN服务器的⽀持22.3.1 理解隧道组22.3.2 定义组策略22.3.3 建⽴隧道组22.3.4 为XAUTH建⽴⽤户账号22.3.5 远程访问会话的问题及在7.0中的解决⽅案22.3.6 解释7.0的⼀台Easy VPN服务器配置的例⼦22.4 总结23 PIX和ASA连接的故障诊断与排除23.1 ISAKMP/IKE阶段1连接23.1.1 阶段1命令的回顾23.1.2 show isakmp sa命令23.1.3 debug crypto isakmp命令23.1.4 debug crypto vpnclient命令23.2 ISAKMP/IKE阶段2连接23.2.1 阶段2命令的回顾23.2.2 show crypto ipsec sa命令23.2.3 debug crypto ipsec命令23.3 总结第六部分案例研究24 案例研究24.1 公司的概貌24.1.1 总部办公室24.1.2 区域办公室24.1.3 分⽀办公室24.1.4 远程访问⽤户24.2 案例研究的配置24.2.1 边缘路由器的配置24.2.2 Internet远程访问配置24.2.3 主要园区⽆线的配置24.3 总结思维导图防⽌博客图床图⽚失效，防⽌图⽚源站外链：思维导图在线编辑链接：。

Cisco VPN 完全配置指南路由器连接的故障诊断与排除（2）二、ISAKMP/IKE 阶段2连接可以使用下面的命令来故障诊断和排除ISAKMP/IKE 阶段1的连接show crypto engine connections active 显示构建的每一个数据的SA 和穿过每一个数据SA 的流量show crypto ipsec sa 显示两台IPSec 对等设备之间建立的数据SA 和用于保护连接的组件和统计信息debug crypto isakmp 显示构建管理连接所采取的步骤和通过管理连接构建数据连接的步骤debug crypto engine 显示与加密和解密数据有关的事件debug crypto ipsec 显示两台对等设备之间的两个单向的数据SA 的实际建立过程 clear crypto sa [counters | map map_name | peer IP_address| spi IP_address {ah | esp} SPI_#]清除统计数字，和一个crypto map 相关的所有数据SA 和一台对等设备相关的所有的数据SA ，或到一台特定的对等设备的特定的数据SA（1）show crypto engine connections active 命令r3640a# show crypto engine connection active ID Interface IP-Address State Algorithm EncryptDecrypt 1 Ethernet0/0 192.1.1.40 set HMAC_SHA+AES_CBC 0 0 2001 Ethernet0/0 192.1.1.40 set AES+SHA 0 5 2002 Ethernet0/0 192.1.1.40 set AES+SHA 5 0 第一条目是管理连接，现面两个条目是两个数据连接，set 表明这个连接已经成功建立。