HOST# show run

: Saved

:

ASA Version 8.4(3)

!

hostname HOST

enable password QmiyDJMbN/.8FneV encrypted passwd 2KFQnbNIdI.2KYOU encrypted names

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.0.1 255.255.255.0 !

interface Vlan2

nameif outside

security-level 0

pppoe client vpdn group XXXXXXXX ip address pppoe setroute

!

ftp mode passive

dns domain-lookup inside

dns server-group DefaultDNS

name-server 202.96.104.17

name-server 8.8.8.8

object network obj_any

subnet 0.0.0.0 0.0.0.0

object network obj-0

subnet 192.168.0.177 255.255.255.255

…… …… 余下全文

先给一个环境：

cisco路由器内网接口s1/0: 192.168.1.1 255.255.255.0 外网接口s1/1: 10.0.0.1 255.255.255.0

服务器ip：192.168.1.100

首先配置好nat。

Router#conf t #进入全局配置模式

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #建立访问控制列表准备做nat转换

Router(config)#ip nat inside source list 1 interface s1/1 #建立NAT转换，将192.168.1.0的地址转换为接口s1/1的地址 Router(config)#int s1/0 #进入接口模式

Router(config-if)#ip nat inside #设定s1/0为NAT内部接口 Router(config-if)#int s1/1 #进入S1/1的接口模式

Router(config-if)#ip nat outside #设定S1/1为NAT外部接口

Router(config-if)#exit

此时已经启用了NAT，内网可以上网了。

现在开始端口映射，让外网访问内网服务器：

Router(config)#ip nat inside source static tcp

192.168.1.100 5631 （端口号）10.0.0.1 5631 extendable

Router(config)#ip nat inside source static tcp

1

192.168.1.100 5632（端口号） 10.0.0.1 5632 extendable #因为10.0.0.1这个地址已经应用在s1/1接口上并做了NAT转换的地址，这里必须加上extendable这个关键字，否则报错。如果用另外的外网ip比如10.0.0.2，在这里就可以不加extendable。

…… …… 余下全文

真正实用的Windows 20## VPN 默认1723端口更改为任意端口的解决方案

按照网上转来转去的教程设置Windows 20## VPN 默认1723端口更改，远程连接时在验证用户名、密码N久后，提示721错误，经研究，问题完美解决。以下是操作细节：

一、服务端（在Windows 20## VPN服务器上）的设置

1、通过修改注册表达到自定义端口的目的

在服务端注册表里面找到这个项

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}下面可以看到诸如0000、0001、 0002、0003、0004等命名的分支，点开分支0004找到该分支下面的TcpPortNumber键，可以看到它默认的十进制值为1723，这个1723就是VPN服务所开的默认端口号，我们把它修改为其他任意端口号即可。 （如图）

2、将VPN的策略由pptp改为L2TP，操作如下：

打开路由和远程访问属性-安全-身份验证方法勾选下列选项，如图：

3、在远程访问策略里修改加密方式为无加密，如图：

4、将如下代码复制到开始-运行里，直接运行（修改注册表）

reg add "HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters" /v ProhibitIPSec /t REG_DWORD /d 1

5、重启服务器。

6、如果服务器放在内网，需要在路由器上将L2TP - 用户数据协议 (UDP) 500、UDP 1701 这两个端口映射出来。

二、客户端设置（以Windows XP为例）

1、点击VPN拨号连接属性-安全-选择高级

2、选择设置，数据加密选择可选加密，其它选项如图所示

…… …… 余下全文

nProSafe? FVX538 具200路隧道的VPN防火墙.

带8口10/100Mbps和1口千兆端口局域网交换机

关键特性

? 8个10/100 Mbps端口和1个千兆局域网端口共享访问你的互联网连接

? 一个控制端口可用于本地管理200路并发的VPN隧道

? 支持IP/MAC地址的绑定

? 支持并发会话连接数的限制

? 支持局域网内每台PC的广域网带宽分配

? 支持稳定的动态域名

? 支持简单网络管理协议(SNMP)

? 服务质量(Qos)传输优先级

? 硬件DMZ

? 为最优化吞吐量性能的安全预处理

? 256位高级加密标准(AES)

? 先进的SPI防火墙& Multi-NAT功能

? VPN配置向导&智能安装向导使配置更容易

? ProSafe VPN客户端软件5用户许可证

? VPNC认证

? 1U机架式高度

? 配合ProSafe网络管理软件NMS100使网络更优化

高性能,可网管的双WAN端口安全防火墙

在你办公网络的核心,NETGEAR高性能的安全设备,ProSafe? 200路隧道的VPN防火墙为成长型的中小型企业提供了一个完整的安全解决方案. 机架式,完全状态包检测(SPI)防火墙可支持最多连接200路安全关联(VPN 隧道)的网络环境. FVX538能提供一个DHCP服务器的服务,支持简单网络管理协议(SNMP), 服务质量(Qos)和强大的SPI防火墙去保护你的PC抵御来自于外部的入侵和大部分常见的互联网攻击. 具有支持”趋势科技”(Trend Micro)强制的防病毒策略.这FVX538包含了一套适合于中小型企业使用的60天试用版的Trend Micro? Client/Server 套件和适合于中小型企业,为用户使用的不包括当前使用许可证的Trend Micro Client/Server/Messaging套件.专注为中小型企业设计,这”趋势科技”的Trend Micro CS和CSM将工作站和服务器的病毒防护(包括Trojans, worms, and hackers,plus spyware, grayware和blended threats) 集合成了一个单一的解决方案,使成长型商用网络用户在有限的IT投资中能去配置,并可实现有效的防病毒策略

…… …… 余下全文

Windows 2003 上配置 VPN + NAT以及VPN的端口映射详解

用VPN+NAT再结合路由可以实现很方便的代理功能，适用于有一台能方便连接Internet的电脑，其他不在同一子网内的电脑能够连接到这台机器但不能完全访问Internet。比如好些学校的校园网，访问国外资源需要付流量费，此时可以找一台能够“出国”的服务器并采用此方案。

Windows 2003作为代理服务器时的配置方法如下：

1. 关闭防火墙，用“管理工具”中的“服务”将“Windows Firewall/Internet Connection Sharing (ICS)”设置为“禁止”状态，否则没法启用路由和远程访问。

2. 打开“管理工具”中的“路由和远程访问”配置界面，选中“路由和远程访问”节点下的“XX(本地)”(如果没有，则需要用“添加服务器”创建一个)，用“操作”菜单下的“配置并启动路由和远程访问”，打开安装向导。

3. 通常情况下只有一块网卡(否则就不需要VPN了)，选择“自定义配置”并继续，选中“VPN访问”和"NAT和基本防火墙"并继续，完成安装向导。

4. 会弹出对话框说已经完成安装，询问是否启动服务，选择“是”。

5. 可选步骤：选中“XX(本地)”，点右键打开“属性”对话框，在“IP”标签下的“IP地址指派”中选中“静态地址池”，并添加用于VPN连接的私有地址范围，比如10.1.0.1-32。

6. 打开“管理工具”中的“计算机管理”，选中“系统工具”->“本地用户和”->“用户”，双击允许进行VPN连接的用户，在用户属性的对话框中选择“拨入”标签，选中“远程访问权限（拨入或 VPN）”下的允许访问。

此时VPN功能已经配置好了，后面将讲述如何建立VPN连接。

7. 选中“XX(本地)”->“IP路由选择”->“NAT/基本防火墙”，点击右键并“新增接口”，选择用来连接外部网络的接口，通常是“本地连接”，在弹出的对话框中选择“公共接口连接到Internet”，并选上“在此接口上启用NAT”，确定。

…… …… 余下全文

VPN连接速度下降 祸起端口模式

通过VPN网络连接通道，位于Internet任何位置处的用户，都能轻松访问到单位局域网中的隐私信息；相比传统的网络访问方式，VPN网络连接组网成本更经济，网络安全性更高，而且很适合用户的移动办公需求。不过，在进行VPN网络连接的过程中，我们可能会遇到各式各样的新问题，面对这样的问题我们需要转换思路、对症下药，才能迅速解决好这类故障现象；这不，笔者就曾遭遇过一则奇怪的VPN连接速度下降故障，现在本文就将该故障原因的追踪过程贡献出来，希望大家能从中获得一些启发！

VPN连接变慢

最近，省中心新上了一套科技计划在线申报系统，该系统工作于VPN网络环境，其数据库位于省中心局域网的某台文件服务器中，各市级客户端用户可以通过VPN网络连接借助Web方式进行访问、申报。在运行一段时间后，笔者发现访问在线申报系统的速度很慢，有的时候连打开一个简单的系统登录页面都要耗费很长时间；笔者估计这中间肯定有地方出问题了，于是电话联系省中心的工程师，询问他们科技计划在线申报系统在软件开发方面是否存在什么限制，对方工程师经过一番仔细地检查测试，回复说这套系统在软件设置方面不存在任何限制，并且其他市的用户可以正常访问这套系统。既然这套系统没有问题，难道是笔者所在单位的局域网到省中心之间的这段网络出现了问题？

笔者单位的局域网是一个简单的二层结构，每一个处室的计算机都通过100M双绞线连接到局域网的普通二层交换机上，普通二层交换机直接与硬件防火墙连接，并通过该防火墙自带的路由功能进行共享上网，硬件防火墙后面连接的是宽带接入设备，该设备通过2M光纤线路与Internet网络保持连接，并且本地局域网中的所有计算机都是使用静态IP地址上网。省中心的组网结构基本与笔者单位局域网的网络结构相同，这两个局域网是通过各自硬件防火墙创建的VPN网络通道进行相连的，而各个市级用户需要访问的科技计划在线申报系统，部署安装在省中心局域网的一台文件服务器中。

…… …… 余下全文

建立内网VPN让外来访问 前提：一台公网电脑（可以是VPS）

内网一台电脑windows 2003（没有路由的权限） 使用的软件：vidc 1.2 (用来开放外网的端口的转发工具) Softether （VPN服务器也用作VPN客户端） 下载地址：Softether /data/420657

vidc 1.2 /data/341880

VPN服务端设置：

服务器的网段：

192.168.1.0

进入SoftEther 虚拟HUB管理器

设置密码保护：

输入1用户管理 再输入2创建新用户 （也就是VPN登录的用户）

VPN用户：vpn 密码：vpn VPN用户：vpn1 密码：vpn1

下面就桥接两个网卡（一个虚拟的）

网桥 填写IP和

DNS

服务器里面也要登录一个用户，使用（用户：vpn 密码：vpn）登录。

打开桌面的 SOFTETHER 连接管理器

删除原来的

帐号-----新帐号

右键连接

连接成功

VIDC 1.2的使用

在公网的电脑上运行vidcs

在内网的电脑上运行

vidcc

这样内网的电脑的7777端口就开放成外网的了

只要访问公网的电脑的7777端口就会访问到内网电脑的7777端口了 使用：vidc服务IP:（公网的IP） VIDC服务端口：（默认为8080） BindIP：(要开放外网的电脑的IP)

Bind端口：（要开放外网电脑的端口）

映射端口：（为公网开放给内网的端口）

VPN客户端的设置：

在XP 32位和WIN7 32位可以使用 （不支持64位的系统） 安装相同（一个地方不用打勾）

登录（用户为：vpn1 密码为：vpn1）在前面的服务器上创建的

…… …… 余下全文