PIX配置專題PIX零起點配置
PIX零起點配置我們需要掌握以下基本命令(以V7.0以上爲例):
1、接口配置:Interface,Nameif,Security-level
2、地址轉換:Nat,Global
3、內網遠程登陸:Telnet,Passwd
1、接口配置:Interface,Nameif,Security-level
2、地址轉換:Nat,Global
3、內網遠程登陸:Telnet,Passwd
PIX零起點配置-1
接口配置:
pix525(config)# interface ethernet 0
pix525(config-if)# ip address 10.1.1.254 255.255.255.0
pix525(config-if)# nameif outside
//爲接口命名,該名稱可在後面應用接口的時候使用
pix525(config-if)# security-level 0
//指定接口安全等級,0爲最低,表示接入的是外部網絡,如果給接口命名時使用Outside,則接口安全等級自動設置爲0,命名爲Inside,則等級爲100,爲內部網絡。設置DMZ時一般使用40
pix525(config)# interface ethernet 1
pix525(config-if)# ip address 192.168.10.254 255.255.255.0
pix525(config-if)# nameif inside
pix525(config-if)# security-level 100
PIX零起點配置-2
pix525(config)# interface ethernet 0
pix525(config-if)# ip address 10.1.1.254 255.255.255.0
pix525(config-if)# nameif outside
//爲接口命名,該名稱可在後面應用接口的時候使用
pix525(config-if)# security-level 0
//指定接口安全等級,0爲最低,表示接入的是外部網絡,如果給接口命名時使用Outside,則接口安全等級自動設置爲0,命名爲Inside,則等級爲100,爲內部網絡。設置DMZ時一般使用40
pix525(config)# interface ethernet 1
pix525(config-if)# ip address 192.168.10.254 255.255.255.0
pix525(config-if)# nameif inside
pix525(config-if)# security-level 100
PIX零起點配置-2
地址轉換:
pix525(config)# global (outside) 1 interface
//將內部主機的地址映射到外部的接口
pix525(config)# nat (inside) 1 192.168.10.0 255.255.255.0
//指定內部允許進行NAT轉換的主機地址,指定的列表“1”要與Outside對應
有的PIX IOS默認時內部主機Ping的回顯請求包是不允許通過Outside接口,爲了讓內網的機器能夠PING出去還要加上:
pix525(config)# access-list for_icmp permit icmp any any
pix525(config)# access-group for_icmp in interface outside
//將ACL應用在Outside接口的in方向
pix525(config)# global (outside) 1 interface
//將內部主機的地址映射到外部的接口
pix525(config)# nat (inside) 1 192.168.10.0 255.255.255.0
//指定內部允許進行NAT轉換的主機地址,指定的列表“1”要與Outside對應
有的PIX IOS默認時內部主機Ping的回顯請求包是不允許通過Outside接口,爲了讓內網的機器能夠PING出去還要加上:
pix525(config)# access-list for_icmp permit icmp any any
pix525(config)# access-group for_icmp in interface outside
//將ACL應用在Outside接口的in方向
PIX零起點配置-3
內網遠程登陸:
pix525(config)# telnet 0.0.0.0 0.0.0.0 inside
//這裏的地址可以指定爲某個主機
pix525(config)# passwd [passwd]
//設置登陸密碼
pix525(config)# enable password [passwd]
配置到這裏,我們可以利用Cisco PIX防火牆的功能順利地實現內部用戶的正常上網(NAT),也可以在內網利用遠程登陸的功能訪問接入防火牆。
但防火牆從外部是不允許隨意連接的,並且如何保證內部用戶的安全,如何方便地提供移動辦公人員的遠程接入,在下面的PIX進階配置中我們將作進一步的闡述。
pix525(config)# telnet 0.0.0.0 0.0.0.0 inside
//這裏的地址可以指定爲某個主機
pix525(config)# passwd [passwd]
//設置登陸密碼
pix525(config)# enable password [passwd]
配置到這裏,我們可以利用Cisco PIX防火牆的功能順利地實現內部用戶的正常上網(NAT),也可以在內網利用遠程登陸的功能訪問接入防火牆。
但防火牆從外部是不允許隨意連接的,並且如何保證內部用戶的安全,如何方便地提供移動辦公人員的遠程接入,在下面的PIX進階配置中我們將作進一步的闡述。
PIX進階配置-1
在PIX上配置SSH:
什麼是SSH?
安全外殼(Secure SHell )是專用的,提供基於Internet的數據安全技術和解決方案,尤其是加密和身份驗證產品。通過使用SSH,可以把所有傳輸的數據進行加密。
pix525(config)# ca zeroize
pix525(config)# ca generate
pix525(config)# ca save
//以上配置用來清除、創建並保存CA證書,產生密鑰,因使用SSH認證需要在Server端與Client端之間交換密鑰
pix525(config)# ssh 0.0.0.0 0.0.0.0 outside
//配置外部網絡使用SSH線路的授權IP
pix525(config)# username [admin] password [admin]
//創建認證時的用戶名和密碼
pix525(config)# aaa authentication ssh console LOCAL
//在本地進行認證,爲可選項,也可以Tacacs+或Radius上進行,注意這裏的“LOCAL”爲大寫
什麼是SSH?
安全外殼(Secure SHell )是專用的,提供基於Internet的數據安全技術和解決方案,尤其是加密和身份驗證產品。通過使用SSH,可以把所有傳輸的數據進行加密。
pix525(config)# ca zeroize
pix525(config)# ca generate
pix525(config)# ca save
//以上配置用來清除、創建並保存CA證書,產生密鑰,因使用SSH認證需要在Server端與Client端之間交換密鑰
pix525(config)# ssh 0.0.0.0 0.0.0.0 outside
//配置外部網絡使用SSH線路的授權IP
pix525(config)# username [admin] password [admin]
//創建認證時的用戶名和密碼
pix525(config)# aaa authentication ssh console LOCAL
//在本地進行認證,爲可選項,也可以Tacacs+或Radius上進行,注意這裏的“LOCAL”爲大寫
PIX進階配置-2
在PIX上配置PPPoE撥號連接(由於實驗室環境無法模擬真實的PPPoE環境,因此大家只需要將有用的配置記錄下來即可):
V6.4:
ip address outside pppoe setroute
vpdn group pppoex request dialout pppoe
vpdn group pppoex localname XXXXXXXX@fzlan
vpdn group pppoex ppp authentication pap
vpdn username 480082917@fzlan password *********
V7.2:
pix525(config)# interface ethernet0
pix525(config-if)# pppoe client vpdn group pppoe
pix525(config)# vpdn group pppoe request dialout pppoe
pix525(config)# vpdn group pppoe localname 123456789@fzlan
pix525(config)# vpdn group pppoe ppp authentication pap
pix525(config)# vpdn username 123456789@fzlan password *********
V6.4:
ip address outside pppoe setroute
vpdn group pppoex request dialout pppoe
vpdn group pppoex localname XXXXXXXX@fzlan
vpdn group pppoex ppp authentication pap
vpdn username 480082917@fzlan password *********
V7.2:
pix525(config)# interface ethernet0
pix525(config-if)# pppoe client vpdn group pppoe
pix525(config)# vpdn group pppoe request dialout pppoe
pix525(config)# vpdn group pppoe localname 123456789@fzlan
pix525(config)# vpdn group pppoe ppp authentication pap
pix525(config)# vpdn username 123456789@fzlan password *********
PIX進階配置-3
配置IPSEC ***遠程撥入連接:
準備工作:Client端安裝了cisco *** client軟件。驗證的過程爲兩次驗證,首先驗證用戶所在分組(Tunnel-group),再驗證用戶身份是否授權連接。
IPSec *** Server端配置步驟:
1、配置IKE:定義isakmp策略集。
2、配置IPSec:定義IPSec變換集,因爲撥入連接的源IP無法確定,所以採用了動態交換的方式,該變換集在映射圖(map)中被引用。
3、創建加密映射表(Crypto map),將IKE策略集與IPSec變換集應用於接口併發送。
4、建立用戶驗證時的分組(Tunnel-group),指定了遠程接入的方式與用戶撥入的地址池(Local Pool)以及分組驗證的密碼(Pre-share-key)。
5、指定不進行NAT轉換的地址。
6、以上述方式接入***網絡,只能夠訪問***的內部網絡,因此爲了實現內部外部都能夠互連,還必須加入“***隧道分離”技術,即:定義一組策略(Group-policy),指定隧道分離機制,再定義需要分離的流量,應用於用戶分組中。
準備工作:Client端安裝了cisco *** client軟件。驗證的過程爲兩次驗證,首先驗證用戶所在分組(Tunnel-group),再驗證用戶身份是否授權連接。
IPSec *** Server端配置步驟:
1、配置IKE:定義isakmp策略集。
2、配置IPSec:定義IPSec變換集,因爲撥入連接的源IP無法確定,所以採用了動態交換的方式,該變換集在映射圖(map)中被引用。
3、創建加密映射表(Crypto map),將IKE策略集與IPSec變換集應用於接口併發送。
4、建立用戶驗證時的分組(Tunnel-group),指定了遠程接入的方式與用戶撥入的地址池(Local Pool)以及分組驗證的密碼(Pre-share-key)。
5、指定不進行NAT轉換的地址。
6、以上述方式接入***網絡,只能夠訪問***的內部網絡,因此爲了實現內部外部都能夠互連,還必須加入“***隧道分離”技術,即:定義一組策略(Group-policy),指定隧道分離機制,再定義需要分離的流量,應用於用戶分組中。
1、配置IKE,IPSec變換集及加密映射表
pix525(config)# crypto ipsec transform-set <myset> esp-des esp-md5-hmac
pix525(config)# crypto dynamic-map <rtpdynmap> <20> set transform-set <myset>
pix525(config)# crypto map <mymap> <20> ipsec-isakmp dynamic <rtpdynmap>
pix525(config)# crypto map <mymap> interface outside
pix525(config)# crypto isakmp identity address
pix525(config)# crypto isakmp enable outside
pix525(config)# crypto dynamic-map <rtpdynmap> <20> set transform-set <myset>
pix525(config)# crypto map <mymap> <20> ipsec-isakmp dynamic <rtpdynmap>
pix525(config)# crypto map <mymap> interface outside
pix525(config)# crypto isakmp identity address
pix525(config)# crypto isakmp enable outside
pix525(config)# isakmp policy <10>
pix525(config-isakmp-policy)# authentication pre-share
pix525(config-isakmp-policy)# encryption des
pix525(config-isakmp-policy)# hash md5
pix525(config-isakmp-policy)# authentication pre-share
pix525(config-isakmp-policy)# encryption des
pix525(config-isakmp-policy)# hash md5
2、建立用戶分組信息
pix525(config)# ip local pool <ipsec-client> 192.168.10.100-192.168.10.110 mask 255.255.255.0
pix525(config)# tunnel-group <group1> type ipsec-ra
//“spoto1”爲用戶第一次驗證時需要填的分組信息
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# address-pool <ipsec-client>
pix525(config-tunnel-general)# authentication-server-group LOCAL(必須大寫)
//爲IPSEC第二次進行的身份認證,即username password
pix525(config)# tunnel-group <group1> ipsec-attributes
pix525(config-tunnel-ipsec)# pre-shared-key [passwd] //爲分組密碼
pix525(config)# access-list <name> permit ip 192.168.10.0 255.255.255.0 192.168.10.0 255.255.255.0
//指定不進行NAT轉換的流量
pix525(config)# nat (inside) 0 access-list <name>
//這裏的“0”表示不進行NAT轉換
pix525(config)# tunnel-group <group1> type ipsec-ra
//“spoto1”爲用戶第一次驗證時需要填的分組信息
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# address-pool <ipsec-client>
pix525(config-tunnel-general)# authentication-server-group LOCAL(必須大寫)
//爲IPSEC第二次進行的身份認證,即username password
pix525(config)# tunnel-group <group1> ipsec-attributes
pix525(config-tunnel-ipsec)# pre-shared-key [passwd] //爲分組密碼
pix525(config)# access-list <name> permit ip 192.168.10.0 255.255.255.0 192.168.10.0 255.255.255.0
//指定不進行NAT轉換的流量
pix525(config)# nat (inside) 0 access-list <name>
//這裏的“0”表示不進行NAT轉換
3、配置IPSec隧道分離
pix525(config)# access-list <tunnellist> permit 192.168.10.0 255.255.255.0
//指定需要進行分離的流量,一般爲Client撥入的地址段
pix525(config)# group-policy <group> internal
pix525(config)# group-policy <group> attributes
pix525(config-group-policy)# ***-idle-timeout 20
pix525(config-group-policy)# split-tunnel-policy tunnelspecified
pix525(config-group-policy)# split-tunnel-network-list value <tunnellist>
//創建隧道分離的組策略
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# default-group-policy <group>
//應用於用戶分組中
//指定需要進行分離的流量,一般爲Client撥入的地址段
pix525(config)# group-policy <group> internal
pix525(config)# group-policy <group> attributes
pix525(config-group-policy)# ***-idle-timeout 20
pix525(config-group-policy)# split-tunnel-policy tunnelspecified
pix525(config-group-policy)# split-tunnel-network-list value <tunnellist>
//創建隧道分離的組策略
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# default-group-policy <group>
//應用於用戶分組中
--------------------------------------------------------------------------------------------------
PIX525-IPSEC-***配置
實驗要求:
在PIX525上進行配置,要求內網PC2能telnet 登入到PIX525上;外網PC1可以通過SSH方式登入到
PIX525;通過在PIN525上配置NAT 使內網PC2可以ping通外網的R1,R2,PC1;在PIX525上配置
IPSEC-***,使PC1可以通過IPSEC-*** 方式登陸到內網上,並PING通內網主機PC2。
IP地址表:(如圖)
pc1<----------------------->R1<----------------------->R2<----------------------->PIX<---------------------->pc2
E0 S0 S0 E0 E0 E1
11.1.1.10/24 12.1.1.1/24 23.1.1.2/24 192.168.11.254/24
11.1.1.254/24 12.1.1.2/24 23.1.1.3/24 192.168.11.10/24
實驗配置如下:
一、路由器和PC 機配置
配置R1:
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
實驗配置如下:
一、路由器和PC 機配置
配置R1:
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int E0
R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run
配置R2:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run
配置PC機:
PC1:修改本地連接的TCP/IP屬性,設置IP:11.1.1.10 掩碼:255.255.255.0 網關:11.1.1.254
PC2:修改本地連接的TCP/IP屬性,設置IP:192.168.11.10 掩碼:255.255.255.0 網關:192.168.11.254
二、PIX525防火牆配置:
1.接口配置:
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0
R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run
配置R2:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run
配置PC機:
PC1:修改本地連接的TCP/IP屬性,設置IP:11.1.1.10 掩碼:255.255.255.0 網關:11.1.1.254
PC2:修改本地連接的TCP/IP屬性,設置IP:192.168.11.10 掩碼:255.255.255.0 網關:192.168.11.254
二、PIX525防火牆配置:
1.接口配置:
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0
PIX525(config-if)#nameif outside //設置接口爲外網接口,啓動安全級別爲0
PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0
PIX525(config-if)#nameif inside //設置接口爲內網接口,啓動安全級別爲100
PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#
2配置允許內網telnet登入:
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //設置E1連接的內網所有主機可以遠程登入到PIX上
PIX525(config)#passwd spoto //設置內網主機Telnet 登入到PIX上的密碼
PIX525(config)#enable password spoto
3.配置允許外網SSH 登入:
PIX525(config)#ca zeroize //清除原有的CA配置
PIX525(config)#ca generate //配置CA爲普通級別配置
PIX525(config)#ca save //保存CA配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //允許外部所有網絡通過SSH 方式從E0口登入
PIX525(config)#username admin password admin //建立一本地用戶,***和SSH 登入時使用
PIX525(config)#aaa authentication ssh LOCAL //使用本地用戶認證
4.配置PAT:
PIX525(config)#global (outside) 1 interface //通過出接口方式轉換爲外網地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //允許轉換的內部地址網絡
PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默認路由,讓內網能ping通外網網段
爲了讓內網的機器能夠PING 出去還要加上: //默認情況下,外網是不允許ping 通內網的,當內網的
ping 包出去後,在返回時候會被outside 接口拒絕或者丟棄,所以要讓outside 接口能接受這個包,作
如下配置:
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside
5.IPSEC-***配置:
PIX525(config)#ip local pool ipsec*** 192.168.11.20-192.168.11.120 mask 255.255.255.0
//建立*** 動態IP 地址池,當外網用戶使用IPSEC--***方式登陸時候,自動從IP池分配一個IP 給用戶
PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//建立列表允許內網網段(含*** 網段)通過PIX 防火牆時,不需要NAT 轉換
PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0
PIX525(config-if)#nameif inside //設置接口爲內網接口,啓動安全級別爲100
PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#
2配置允許內網telnet登入:
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //設置E1連接的內網所有主機可以遠程登入到PIX上
PIX525(config)#passwd spoto //設置內網主機Telnet 登入到PIX上的密碼
PIX525(config)#enable password spoto
3.配置允許外網SSH 登入:
PIX525(config)#ca zeroize //清除原有的CA配置
PIX525(config)#ca generate //配置CA爲普通級別配置
PIX525(config)#ca save //保存CA配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //允許外部所有網絡通過SSH 方式從E0口登入
PIX525(config)#username admin password admin //建立一本地用戶,***和SSH 登入時使用
PIX525(config)#aaa authentication ssh LOCAL //使用本地用戶認證
4.配置PAT:
PIX525(config)#global (outside) 1 interface //通過出接口方式轉換爲外網地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //允許轉換的內部地址網絡
PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默認路由,讓內網能ping通外網網段
爲了讓內網的機器能夠PING 出去還要加上: //默認情況下,外網是不允許ping 通內網的,當內網的
ping 包出去後,在返回時候會被outside 接口拒絕或者丟棄,所以要讓outside 接口能接受這個包,作
如下配置:
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside
5.IPSEC-***配置:
PIX525(config)#ip local pool ipsec*** 192.168.11.20-192.168.11.120 mask 255.255.255.0
//建立*** 動態IP 地址池,當外網用戶使用IPSEC--***方式登陸時候,自動從IP池分配一個IP 給用戶
PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//建立列表允許內網網段(含*** 網段)通過PIX 防火牆時,不需要NAT 轉換
PIX525(config)#nat (inside) 0 access-list nonat //應用訪問控制列表,0表示不進行轉換
PIX525(config)# sysopt connection permit-***
――――――
PIX525(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0
PIX525(config)#group-policy spoto internal //建立內部組策略,命名爲spoto
PIX525(config)#group-policy spoto attributes
PIX525(config-group-policy)#***-idle-timeout 20 //設置***超時時間爲20鍾
PIX525(config-group-policy)#split-tunnel-policy tunnelspecified //建立隧道分離策略
PIX525(config-group-policy)#split-tunnel-network-list value tunnellist
//與tunnellist匹配的網絡將全部使用隧道分離
――――――
PIX525(config-group-policy)#exit
PIX525(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac
//ipsec的數據轉換格式集通過des方式加密,對方通過哈希表-md5方式還原數據
PIX525(config)#crypto dynamic map mydynmap 20 set transform-set myset
//建立加密動態映射圖,並採用上建的myset 方式加密解密
PIX525(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap
//建立加密靜態映射圖,加密靜態映射圖中ipsec-isakmp 採用上建的加密動態映射圖加密
PIX525(config)#crypto map mymap interface outside //將加密靜態映射圖應用於外網接口
PIX525(config)#crypto isakmp identity address //isakmp採用地址驗證
PIX525(config)#crypto isakmp enable outside //isakmp 應用於外網接口
// isakmp:Internet Security Association and Key Management Protocol policy.
互連網安全密鑰管理協議策略 應用到外網接口
――――――
PIX525(config)#crypto isakmp policy 10 //建立isakmp 策略
PIX525(config-isakmp-policy)#authentication pre-share //使用共享密鑰認證
PIX525(config-isakmp-policy)#encryption des //使用des算法加密
PIX525(config-isakmp-policy)#hash md5 //哈希使用MD5算法還原數據
PIX525(config-isakmp-policy)#end
PIX525(config)# sysopt connection permit-***
――――――
PIX525(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0
PIX525(config)#group-policy spoto internal //建立內部組策略,命名爲spoto
PIX525(config)#group-policy spoto attributes
PIX525(config-group-policy)#***-idle-timeout 20 //設置***超時時間爲20鍾
PIX525(config-group-policy)#split-tunnel-policy tunnelspecified //建立隧道分離策略
PIX525(config-group-policy)#split-tunnel-network-list value tunnellist
//與tunnellist匹配的網絡將全部使用隧道分離
――――――
PIX525(config-group-policy)#exit
PIX525(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac
//ipsec的數據轉換格式集通過des方式加密,對方通過哈希表-md5方式還原數據
PIX525(config)#crypto dynamic map mydynmap 20 set transform-set myset
//建立加密動態映射圖,並採用上建的myset 方式加密解密
PIX525(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap
//建立加密靜態映射圖,加密靜態映射圖中ipsec-isakmp 採用上建的加密動態映射圖加密
PIX525(config)#crypto map mymap interface outside //將加密靜態映射圖應用於外網接口
PIX525(config)#crypto isakmp identity address //isakmp採用地址驗證
PIX525(config)#crypto isakmp enable outside //isakmp 應用於外網接口
// isakmp:Internet Security Association and Key Management Protocol policy.
互連網安全密鑰管理協議策略 應用到外網接口
――――――
PIX525(config)#crypto isakmp policy 10 //建立isakmp 策略
PIX525(config-isakmp-policy)#authentication pre-share //使用共享密鑰認證
PIX525(config-isakmp-policy)#encryption des //使用des算法加密
PIX525(config-isakmp-policy)#hash md5 //哈希使用MD5算法還原數據
PIX525(config-isakmp-policy)#end
PIX525(config)#tunnel-group spoto10 type ipsec-ra //建立*** 遠程登入(即使用隧道分離)組
PIX525(config)#tunnel-group general-attributes //配置***遠程登入(即使用隧道分離)組的基本屬性
PIX525(config-tunnel-general)#address-pool ipsev*** //設置***登入內網時分配的IP地址池
PIX525(config-tunnel-general)#authentication-server-group LOCAL //服務端組使用本地認證
――――――
PIX525(config-tunnel-general)#default-group-policy spoto //指定默認的組策略爲spoto
――――――
PIX525(config-tunnel-general)#exit
PIX525(config)#tunnel-group spoto10 ipsec-attributes //設置*** 遠程登入(即使用隧道分離)組的
ipsec屬性
PIX525(config-tunnel-ipsec)#pre-share-key spoto //設置使用的共享密鑰爲spoto
6.驗證:
在外網PC1 上使用*** 方式測試是否能成功登入到PIX525 上(需要安裝***-CLIENT 軟件),在
***-CLIENT 上host項上輸入PIX525的outside接口地址,然後輸入*** 組spoto10和密碼spoto,
點擊連接,等待輸入用戶名和密碼。輸入完用戶名密碼等待PIX驗證後,在運行下輸入cmd進入CLI模
式。在CLI模式下輸入ipconfig /all查看是否獲取到ipsec*** 地址池中分配到的IP 地址,若分配到則
成功使用***方式登入到了PIX 上,確切說登入到了內部網絡上。這樣PC1就如同在內部網絡中一樣可
以隨意使用內部網絡資源了!
PIX525(config)#tunnel-group general-attributes //配置***遠程登入(即使用隧道分離)組的基本屬性
PIX525(config-tunnel-general)#address-pool ipsev*** //設置***登入內網時分配的IP地址池
PIX525(config-tunnel-general)#authentication-server-group LOCAL //服務端組使用本地認證
――――――
PIX525(config-tunnel-general)#default-group-policy spoto //指定默認的組策略爲spoto
――――――
PIX525(config-tunnel-general)#exit
PIX525(config)#tunnel-group spoto10 ipsec-attributes //設置*** 遠程登入(即使用隧道分離)組的
ipsec屬性
PIX525(config-tunnel-ipsec)#pre-share-key spoto //設置使用的共享密鑰爲spoto
6.驗證:
在外網PC1 上使用*** 方式測試是否能成功登入到PIX525 上(需要安裝***-CLIENT 軟件),在
***-CLIENT 上host項上輸入PIX525的outside接口地址,然後輸入*** 組spoto10和密碼spoto,
點擊連接,等待輸入用戶名和密碼。輸入完用戶名密碼等待PIX驗證後,在運行下輸入cmd進入CLI模
式。在CLI模式下輸入ipconfig /all查看是否獲取到ipsec*** 地址池中分配到的IP 地址,若分配到則
成功使用***方式登入到了PIX 上,確切說登入到了內部網絡上。這樣PC1就如同在內部網絡中一樣可
以隨意使用內部網絡資源了!