Cisco PIX防火墙 EzVPN配置模版面

Cisco PIX 防火墙 EzVPN 配置 模版 面 1定义VPN客户端被分配到的地址池 pix ( config )# ip local pool ezvpn-pool 192.168.1.1-192.168.1.100 pix(config)# ip local pool ezvpn-pool2 192.168.1.101-192.168.1.200 2定义VPN组用户属性 pix(config)# vpngro

Cisco PIX防火墙 EzVPN配置模版


1>定义VPN客户端被分配到的地址池

pix(config)# ip local pool ezvpn-pool 192.168.1.1-192.168.1.100
pix(config)# ip local pool ezvpn-pool2 192.168.1.101-192.168.1.200



2>定义VPN组用户属性

pix(config)# vpngroup test1 address-pool ezvpn-pool
pix(config)# vpngroup test1 dns-server 10.1.2.33
pix(config)# vpngroup test1 default-domain test.com
pix(config)# vpngroup test1 split-tunnel NONAT
pix(config)# vpngroup test1 password cisco

pix(config)# vpngroup test2 address-pool ezvpn-pool2
pix(config)# vpngroup test2 dns-server 10.1.2.33
pix(config)# vpngroup test2 default-domain test.com
pix(config)# vpngroup test2 split-tunnel NONAT
pix(config)# vpngroup test2 password cisco


3>定义不需要被NAT转换,走VPN的数据流

pix(config)# access-list NONAT permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
pix(config)# nat (inside) 0 access-list NONAT


4>启用XAUTH用户认证

使用本地认证(PIX 6.3以上):
pix(config)# aaa-server LOCAL protocol local
pix(config)# username sense password cisco
pix(config)# crypto map mymap client authentication LOCAL

使用AAA认证(PIX 6.2以上):
pix(config)# aaa-server tacacs+ protocol tacacs+
pix(config)# aaa-server tacacs+ (inside) host 192.168.9.33 cisco
pix(config)# crypto map mymap client authentication tacacs+

pix(config)# aaa-server radius protocol tacacs+
pix(config)# aaa-server radius (inside) host 192.168.9.34 cisco
pix(config)# crypto map mymap client authentication raiuds+



5>定义ISAKMP策略

pix(config)# isakmp enable outside
pix(config)# isakmp identity address
pix(config)# isakmp policy 10 authen pre-share
pix(config)# isakmp policy 10 encry des
pix(config)# isakmp policy 10 hash md5
pix(config)# isakmp policy 10 group 2



6>定义tunnel-mode的传输集

pix(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac



7>定义,绑定动态,静态加密映射


pix(config)# crypto dynamic-map dynmap 10 set transform-set mytrans

pix(config)# crypto map mymap 10 ipsec-isakmp dynamic dynmap
pix(config)# crypto map mymap interface outside



9>开启IKE Mod Config,定义由谁初始化IKE链接。

  • initiate为VPN Server端发起IKE初始化。
  • respond为VPN Client端发起IKE初始化。


pix(config)# crypto map mymap client configuration address initiate
pix(config)# crypto map mymap client configuration address respond




10>使用ACL或如下命令信任IPSEC流量

pix(config)# sysopt connection permit-ipsec










配 置实例:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
基本接口配置

pix(config)#interface eth0 auto
pix(config)#interface eth1 auto
pix(config)#nameif eth0 outside security0
pix(config)#nameif eth1 inside security100
pix(config)#ip address outside 218.1.1.2 255.255.255.0
pix(config)#ip address inside 10.100.1.1 255.255.255.0

设置默认路由

pix(config)#route outside 0 0 218.1.1.1

规定不需要进行nat的流量以及需要被IPSec保护的流量

pix(config)# access-l ezvpn permit ip 10.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0

设置nat0

pix(config)# nat (inside) 0 access-list ezvpn

设置客户端的地址池

pix(config)# ip local pool ezvpn-pool 192.168.1.1-192.168.1.254

isakmp参数配置

pix(config)# isakmp enable outside
pix(config)# isakmp identity address
pix(config)# isakmp policy 20 authen pre-share
pix(config)# isakmp policy 20 encry 3des
pix(config)# isakmp policy 20 hash sha
pix(config)# isakmp policy 20 group 2

设置转换集以及动态映射

pix(config)# crypto ipsec transform-set ccsp esp-3des esp-sha-hmac
pix(config)# crypto dynamic-map vpn-dyn 10 set transform-set ccsp

配置crypto map

pix(config)# crypto map cisco 10 ipsec-isakmp dynamic vpn-dyn
pix(config)# crypto map cisco client conf address initiate
pix(config)# crypto map cisco interface outside

组策略配置

pix(config)# vpngroup mobile address-pool ezvpn-pool
pix(config)# vpngroup mobile dns-server 10.100.1.80
pix(config)# vpngroup mobile default-domain itany.com
pix(config)# vpngroup mobile split-tunnel ezvpn
pix(config)# vpngroup mobile password cisco1234

允许在IPSec隧道中传输任何数据

pix(config)# sysopt connection permit-ipsec


文章转载至 思科技术论坛无忧网客联盟

郑重声明:本文版权包含图片归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们(delete@yzlfxy.com)修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
昵称:
匿名发表
   
验证码: