其它文章
第四层交换:向服务要质量的典型
计算机端口详解(非常详细,必看!)
Qos配置案例
光纤技术与光纤网络
TCP/IP协议端口大全
组播技术汇总
千兆以太网设计目标及原则概述
千兆以太网的构建与国际标准
电信运营商使用rate-limte 限制速度方法
3种方法封锁BT下载
Cisco技术 / Cisco技术 / 配置实例 / pix防火墙site-to-site VPN配置资料

pix防火墙site-to-site VPN配置资料
作者:     http://cisco.ccxx.net
pix防火墙site-to-site VPN配置资料
PIX site-to-site VPN without CA configuration
拓扑如下:

PCA(192.168.1.2/24)-------(inside:192.168.1.1/24)PIX-A(outside:20.0.0.1/8)-------INTERNET-----------(outside:30.0.0.1/8)PIX-B(inside:172.16.0.1/16)--------PCB(172.16.0.2/16)

PIX-A IPSec 配置

Access-list 100 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0

(配置加密访问控制列表)

以下是配置IKE阶段一的配置,IKE阶段一协商IKE安全关联(SA),用于鉴别IPSec对等体,在对等体间建立安全的信息交换通道。

isakmp enable outside   在outside接口上启动IKE

isakmp key thisisthekey address 30.0.0.1 netmask 255.255.255.255

配置peer和2个peer之间相互确认的key

isakmp identity address

确认使用IP address方式来确认peer,还有一种hostname方式,需要外部DNS,否则另外需要在防火墙上添加 name ip_address name 命令来做主机名到IP的映射。

Isakmp policy 10 authentication pre-share

定义 IKE 策略,优先级为10 默认是32768(值越低,优先级越高),认证方式采用预共享密钥方式。

Isakmp policy 10 encryption des 配置加密方式为des(用于数据加密)

Isakmp policy 10 hash md5 配置hash算法为MD5(用于鉴别数据包)

Isakmp policy 10 group 1 指定Diffie-Hellman组标识。缺省为组1,Diffie-Hellman密钥协定是一种公钥加密方法,它提供了一种让2个IPSec对等体建立一个只有他们才知道的共享密钥的途径。使用Diffie-Hellman算法时,每个对等体产生一公钥和私钥对。共享密钥是根据结合另一个对等体的公钥和自己的私有密钥计算出来的。

Isakmp policy 10 lifetime 86400 指定IKE SA的生存时间。缺省是86400s

以下是IKE阶段二的配置,IKE阶段二协商IPSec安全关联参数,以建立IPSec安全通道。它建立在IKE在阶段一中已建立的安全通道后,协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料

Crypto ipsec transform-set myset esp-des esp-sha-hmac

配置交换集,名称为myset,交换集被设计用于为数据流制定一个特定的安全策略

Crypto map newmap 10 ipsec-isakmp

配置加密图,使用ipsec-ike方式,优先值为10,注意如果使用动态加密图,该加密图的优先值的数值应该设为最低。

Crypto map newmap 10 match address 100 配置加密数据流,上面第一条acl 100

Crypto ma newmap 10 set peer 30.0.0.1 配置VPN对等体

Crypto map newmap 10 set transform-set myset 指定该IPSec加密图使用的交换集为myset

Crypto map newmap interface outside 把加密图newmap应用到outside端口

至此,site-to-site VPN PIX-A配置完毕。

PIX-B 配置清单:

Access-list 100 permit ip 172.16.1.0 255.255.0.0 192.168.1.0 255.255.255.0

isakmp enable outside

isakmp key thisisthekey address 20.0.0.1 netmask 255.255.255.255

isakmp identity address

Isakmp policy 10 authentication pre-share

Isakmp policy 10 encryption des

Isakmp policy 10 hash md5

Isakmp policy 10 group 1

Isakmp policy 10 lifetime 86400

Crypto ipsec transform-set myset esp-des esp-sha-hmac

Crypto map newmap 10 ipsec-isakmp

Crypto map newmap 10 match address 100

Crypto ma newmap 10 set peer 20.0.0.1

Crypto map newmap 1- set transform-set myset

Crypto map newmap interface outside
收藏本页

共 4 人推荐文章 pix防火墙site-to-site VPN配置资料

Copyright © 2006 cisco.ccxx.net 版权所有.提供Cisco技术,Cisco培训,CCNA,CCNP,CCIE培训,Cisco论坛CCIE实验室
上海地区Cisco培训、CCNA培训、CCNP培训、CCIE培训