下载文档原格式
AnyConnect:使用CLI为Cisco IOS路由器头端配置基本SSL VPN简介目录简介先决条件要求使用的组件背景信息不同IOS版本的许可信息显着的软件增强功能配置步骤1.确认许可证已启用步骤2.在路由器上上传和安装AnyConnect安全移动客户端软件包步骤3.生成RSA密钥对和自签名证书步骤4.配置本地VPN用户帐户步骤5.定义客户端使用的地址池和拆分隧道访问列表步骤6.配置虚拟模板接口(VTI)步骤7.配置WebVPN网关步骤8.配置WebVPN环境和组策略第9步(可选)配置客户端配置文件验证故障排除相关信息本文档介绍Cisco IOS®路由器作为AnyConnect安全套接字层VPN(SSL VPN)头端的基本配置。
先决条件要求Cisco 建议您了解以下主题:Cisco IOSqAnyConnect 安全移动客户端q常规SSL操作q使用的组件本文档中的信息基于以下软件和硬件版本:运行15.3(3)M5的思科892W路由器qAnyConnect安全移动客户端3.1.08009q本文档中的信息都是基于特定实验室环境中的设备编写的。
本文档中使用的所有设备最初均采用原始(默认)配置。
如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息不同IOS版本的许可信息无论使用哪个Cisco IOS版本,使用SSL VPN功能都需要securityk9功能集。
qCisco IOS 12.x - SSL VPN功能集成到以12.4(6)T开头的所有12.x映像中,这些映像至少具有安q全许可证(即advsecurityk9、adventerprisek9等)。
Cisco IOS 15.0 — 早期版本要求在路由器上安装LIC文件,该文件允许10、25或100个用户连q接。
使用权*许可证在15.0(1)M4中实施Cisco IOS 15.1 — 早期版本要求在路由器上安装LIC文件,该文件允许10、25或100个用户连q接。
CiscoIOS升级6步轻松搞定Cisco IOS升级6步轻松搞定前面的文章给大家介绍了什么是IOS、IOS升级的意义及一些方法,现在让我们用思科2811路由器升级IOS的实例来看看Cisco IOS升级的详细步骤。
我们选用通过TFTP服务器直接将新版IOS复制到路由器中的方法来进行IOS的升级。
第一步:配置TFTP服务器(建立Cisco TFTP服务器的方法请查看:这里就不介绍了)第二步:确认现有的路由器IOS版本查看路由器IOS版本可以利用show version或show flash命令。
show version命令可以输出路由器的软、硬件版本信息。
使用show flash命令也可以看到思科路由器上的IOS版本和文件名。
查好后记住这个IOS文件名(以后步骤会用到)。
第三步:将新版本的IOS文件放到设置好的TFTP服务器根目录下这一步我们将需要安装的IOS文件(例如c2800nm-advsecurityk9-mz.124-17.bin)复制到TFTP服务器的根目录下,这个目录就是你在建立TFTP服务器时设定好的那个根目录。
同样记下这个文件名。
第四步:建立路由器和TFTP服务器的通信首先在路由器以太口上配置IP地址,并启用,然后将该接口连到局域网中,使该接口能和TFTP服务器通信,以便从TFTP服务器上下载IOS。
命令如下:Router(config)#inter f0/0Router(config-if)#ip address 192.168.0.10 255.255.255.0Router(config-if)#no shut这样我们就在路由器的f0/0口上配置了IP地址:192.168.0.10。
然后使用ping命令测试路由器和TFTP服务器之间能否正常通信(TFTP服务器的地址是192.168.0.1)。
能够正常的ping到TFTP服务器就可以开始为路由器IOS升级了。
第五步:升级IOS升级IOS的命令是copy tftp flashRouter#copy tftp flashAddress or name of remote host []?在后边输入TFTP服务器的IP地址:192.168.0.1后回车;Source filename []?在后边输入新版本IOS文件名(前边提醒你记录了)c2800nm-advsecurityk9-mz.124-17.bin后回车;Destination filename [c2800nm-advsecurityk9-mz.124-17.bin]?Do you want to over write? [confirm]回车;Accessing tftp://192.168.0.1/c2800nm-advsecurityk9-mz.124-17.bin…运行到这一步,如果你的路由器FLASH空间足够用的话就可以顺利完成IOS的升级了,如果空间不够的话会提示:“Not enough space on device”,这时根据IOS版本的不同出现这个错误后的处理方法不同,老版本会提示你删除flash文件“Erase flash:”你可以强制删除flash中的文件;新版本的IOS会直接回到提示符下终止IOS的升级,这是你必须首先删除路由器中老版本的IOS文件然后继续执行IOS升级,命令是“delete flash:”。
问题与解答CISCO IOS 软件版本 12.3T问题:什么类型的客户会对部署 Cisco IOS®软件版本 12.3T 感兴趣?解答:思科建议需要实现以下目标的“企业”、“接入”和“服务提供商集团”客户使用版本 12.3T:• 通过增强安全性、提高分支机构的语音质量和功能性以及增强“服务质量”(QoS) 提高企业的生产率• 部署或升级 IPv6、NetFlow 以及相关管理功能• 部署需要安全互联网接入和企业网络连接的小型远程办公室和远程工作者• 实现新的内容分发功能、网络语音增强功能、改进的安全性以及有效的管理与部署工具问题:客户可以从哪里下载版本 12.3T?解答:访问 上的软件中心以下载任何版本的产品。
要下载版本 12.3T,请登录至 并访问:/kobayashi/library/12.3/index.shtml该网站还提供了 Cisco IOS 软件的软硬件兼容性与订购过程方面的有用信息。
请确保您已具备有效的 SMARTnet 合同或购买功能许可授权,以便访问和下载版本。
问题:部署版本 12.3T 有任何相关的特殊内存需求吗?解答:在安装 12.3T 之前,请咨询“Cisco IOS 升级规划人员”,了解内存需求。
因为内存需求取决于硬件产品和选择的映像特性集。
/go/iosplannerCisco IOS 软件版本的类型问题:版本 12.3T 是哪类版本?解答:版本 12.3T 是一个新技术版本 (T),综合了主版本 12.3的功能、新功能、硬件支持以及特定应用版本。
问题:主版本与新技术版本之间有什么关系?解答:主版本合并了自前一版本系列后推出的所有新技术版本。
例如,主版本 12.3 合并了版本 12.2T 系列的所有功能和硬件支持。
主版本定期进行软件缺陷修复,但不加入新功能或硬件支持。
新技术版本派生于主版本,并使用相同的编号。
例如,版本 12.3T 派生于主版本 12.3。
本文以CISCO 2950交换机为例:IOS升级的步骤描述如下:一、预备知识交换机与计算机有相似点是,它也有内存、操作系统、配置和用户界面,Cisco交换机中,操作系统叫做互连网操作系统(Internet Operating System)或IOS。
下面介绍交换机的存储器。
ROM(只读存储器):包含路由器正在使用的IOS的一份副本;RAM(随机访问存储器):IOS将随机访问存储器分成共享和主存,主要用来存储运行中的交换机配置;FLASH (闪存):用来存储IOS软件映像文件,闪存是可以擦除内存,它能够用IOS的新版本覆写.NVRAM(非易失性随机访问存储器):用来存储系统的配置文件。
交换机的IOS升级主要是闪存中的IOS映像文件进行更换。
二、前期准备1、准备进行IOS升级的Cisco2950交换机一台;2、电脑一台(台式机、笔记本均可),○1用于对交换机进行配置操作○2作为TFTP服务器;3、直连网线一根(即两段线序一致),用于向交换机传输IOS文件;4、交换机配置线一根;5、TFTP服务器软件一套,本次使用的是“Cisco TFTP Server”;6、IOS升级文件一份。
三、开始升级1、用配置线连接交换机的Console口与电脑的COM1口(或USB口,依据配置线不同而定),网线连接交换机F0/1口与电脑的以太网口。
电脑IP设为192.168.0.1。
2、将电脑作为TFTP服务器,打开TFTP服务器软件,并将其根目录设为IOS文件所在目录。
3、为使交换机能与TFTP服务器相互通信,我们需要为交换机设置IP地址。
使用Windows自带的超级终端软件,将交换机F0/1的地址设为与电脑的IP地址同网段。
具体步骤如下(进入全局配置模式):Switch<config>#interface vlan 99 //创建并进入vlan99;Switch<config-subif>#ip address 192.168.0.2 255.255.255.0//为vlan99添加IP;Switch<config-subif>#no shutdown //启用vlan99;Switch<config-subif>#exit //退回全局配置模式;Switch<config>#interface fasethernet 0/1 //进入F0/1口;Switch<config-if>#switch access vlan 99 //将F0/1口划入vlan99;Switch<config-if>#exit //退回全局配置模式;这时,如果能够在超级终端界面上Ping通192.168.0.1,就表明交换机和TFTP服务器(电脑)连接正常了。
IOS升级方法一在对能够正常启动的CISCO路由器的IOS进行升级时,比较简单。
具体步骤如下:1、寻找一种TFTP服务器软件(有CISCO公司的TFTPServer或3COM公司的3Cserver等,在升级较大IOS映象文件时,建议用3Cserver),安装在一台计算机上,将要升级的IOS映象文件拷贝到相关的目录中(例:D:\),并运行TFTP服务器软件,通过菜单设置Root目录为拷贝IOS映象文件所在目录(如D:\)。
假设该计算机的IP地址为10.32.10.1;2、连接路由器的console口和PC机的COM1,使用PC的终极终端软件访问路由器,将路由器的地址设为10.32.10.32(和计算机的IP地址同网段即可)。
建议在进行IOS升级前将原有IOS文件备份下来,防止待升级的IOS文件存在问题不可用;QUOTE:Router# dir flash: (查看目前IOS映象文件名,也可用Router#Show version)Directory of flash:/1 -rw- 5998292 C2600-I-MZ.122-11.BIN8388608 bytes total (2390252 bytes free)Router#copy flash tftp (备份IOS文件)Source filename []?c2600-i-mz.122-11.binAddress or name of remote host []? 10.32.10.1 (TFTP服务器地址)Destination filename [c2600-i-mz.122-11.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!…!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5998292 bytes copied in 324.071 secs (18509 bytes/sec)Router#3、对路由器进行IOS升级;QUOTE:Router#copy tftp flashAddress or name of remote host []? 10.32.10.1 (TFTP服务器地址)Source filename []? c2600-i-mz.122-11.bin (需升级的新IOS映象文件名)Destination filename [c2600-i-mz.122-11.bin]?Do you want to over write? [confirm]Accessing tftp://10.32.10.1/c2600-i-mz.122-11.bin...Erase flash: before copying? [confirm]Erasing the flash filesystem will remove all files! Continue? [confirm]Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erasedeeErase of flash: completeLoading c2600-i-mz.122-11.bin from 10.32.10.1 (via Ethernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!…!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![OK - 5998292 bytes]Verifying checksum... OK (0xA0C0)5998292 bytes copied in 318.282 secs (18846 bytes/sec)Router#++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++IOS升级方法二由于升级失败后或路由器的config-register寄存器值为0x2101时,开启路由器时、或在开启(某些型号)Cisco路由器的电源开关后30秒内按下Ctrl+break键,中断路由器的正常启动,路由器都会进入rom监视模式,即Router(boot)>,在这种情形下,对路由器的IOS 进行升级,也比较简单。
CISCO路由器IOS升级方法总结概述在网络设备中,CISCO路由器是一种常见且广泛使用的设备。
为了保持设备的正常运行和维护安全性,定期升级路由器的操作系统(IOS)是必要的。
本文将总结CISCO路由器IOS升级的方法,以帮助用户顺利完成相关操作。
准备工作在开始升级路由器IOS之前,需要完成以下准备工作: 1. 确定当前路由器的型号和支持的IOS版本。
2. 下载最新的IOS版本文件,确保文件的完整性和正确性。
3. 使用一个TFTP(Trivial File Transfer Protocol)服务器,用于从服务器传输IOS文件到路由器上。
确保服务器能够正常工作,并连接到路由器所在的网络。
步骤一:备份当前的配置在进行任何升级操作之前,最重要的是备份当前的路由器配置。
这样,在升级过程中出现问题时,可以恢复到之前的配置状态。
以下是备份配置的步骤: 1. 连接到路由器的控制台界面或使用SSH(Secure Shell)进行远程登录。
2. 输入以下命令进入特权模式:enable3.进入全局配置模式:configure terminal4.输入以下命令将路由器配置保存到TFTP服务器上:copy running-config tftp:5.根据提示输入TFTP服务器的IP地址和备份文件保存的位置。
6.验证备份文件是否成功保存。
步骤二:升级IOS完成备份操作后,接下来是升级路由器的IOS。
根据下载的IOS版本文件以及路由器型号,执行以下步骤: 1. 确认当前IOS版本:show version2.通过TFTP服务器将新的IOS版本文件上传到路由器上:copy tftp: flash:3.根据提示输入TFTP服务器的IP地址和IOS文件的名称。
4.确认升级文件的完整性和正确性。
5.设置路由器引导文件指向新的IOS版本:boot system flash <IOS文件名>6.保存配置并重新启动路由器:write memoryreload7.确认路由器已经成功升级并正常运行。
路由器IOS操作路由器IOS是指路由器的操作系统,它是用于控制和管理路由器功能的软件。
在实际应用中,我们经常需要对路由器的IOS进行操作和配置来满足特定的需求。
本文将以Cisco路由器为例,介绍一些常用的路由器IOS操作。
首先,我们需要通过一个终端设备(如计算机)连接到路由器。
可以通过串口、以太网端口或通过SSH(Secure Shell)连接路由器。
一旦连接成功,我们就可以开始进行IOS操作了。
1.登录路由器在终端设备上打开一个终端仿真器,如SecureCRT或Putty,在这个仿真器中进行路由器的登录。
在登录界面上,输入路由器的IP地址、用户名和密码,然后按回车键。
如果输入的用户名和密码正确,登录就会成功。
2.进入特权模式在登录成功后,默认进入的是用户模式。
用户模式的提示符是路由器的主机名后面跟有`>`符号。
要进入特权模式,可以输入命令`enable`。
特权模式的提示符是路由器的主机名后面跟有`#`符号。
3.查看路由器配置信息在特权模式下,可以使用命令`show running-config`来查看路由器的当前配置信息。
该命令会列出路由器的配置文件,其中包括接口配置、路由表、访问控制列表等信息。
4.配置路由器接口要配置路由器的接口,可以使用命令`interface`。
例如,要进入一些接口(如FastEthernet0/0),可以使用命令`interfacefastEthernet0/0`。
进入接口的配置模式后,可以使用不同的命令来配置该接口的IP地址、子网掩码、协议等。
5.配置路由要配置路由器的路由,可以使用命令`ip route`。
该命令用于添加静态路由。
例如,要将IP地址为192.168.1.0/24的网络发送到下一跳IP地址为10.0.0.1的接口,可以使用命令`ip route 192.168.1.0255.255.255.0 10.0.0.1`。
6.配置访问控制列表访问控制列表(ACL)用于限制流经路由器的数据流量。
