如转载,请注明出处!
假设ITANY公司南京总部和上海分部都申请了到Internet的连接,其中公司总部使用PIX515防火墙连接,公司分部使用Cisco2500路由器连接。我们需要对两台设备进行配置,以达到以下目的:
1、公司总部和公司分部的办公人员都能够访问Internet。其中,公司总部分配得到的公网地址范围为218.94.26.1 ~ 218.94.26.31/27;公司分部分配得到的公网地址范围为202.102.11.1 ~ 202.102.11.31/27。
2、公司总部和公司分部的办公人员能够通过VPN建立连接,以互相访问内部的资源。
网络拓扑如下图所示:
PIX515E上VPN和NAT的相关配置
第一步:定义感兴趣数据流,即将来需要通过VPN加密传输的数据流。
PIX(config)# access-list secure permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
第二步:通过VPN传输的数据包不需要做NAT,因此,将这些数据包定义到nat 0,nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。
PIX(config)# nat (inside) 0 access-list secure
第三步:访问internet的数据流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco1234”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco1234 address 202.102.11.34
第六步:设置ipsec转换集。
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map cisco 10 ipsec-isakmp
PIX(config)# crypto map cisco 10 match address secure
//加载感兴趣流
PIX(config)# crypto map cisco 10 set transform-set ccsp
//选择转换集
PIX(config)# crypto map cisco 10 set peer 202.102.11.34
//设置对等体地址
PIX(config)# crypto map cisco 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。
PIX(config)# crypto map cisco interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
Cisco 2500路由器上VPN和NAT的相关配置
第一步:在路由器上定义NAT的内部接口和外部接口
S1(config)#int e0
S1(config-if)#ip nat inside
S1(config-if)#exit
S1(config)#int s0
S1(config-if)#ip nat outside
S1(config-if)#exit
第二步:定义需要被NAT的数据流(即除去通过VPN传输的数据流)
S1(config)#access-l 101 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
S1(config)#access-l 101 permit ip 10.2.2.0 0.0.0.255 any
第三步:定义NAT。
S1(config)#ip nat inside source list 101 interface s0 overload
第四步:定义感兴趣数据流,即将来需要通过VPN加密传输的数据流。
S1(config)#access-list 102 per ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
第五步:定义ISAKMP策略。
S1(config)#crypto isakmp enable
//启用ISAKMP
S1(config)#crypto isakmp policy 10
S1(config-isakmp)#authentication pre-share
//认证方法使用预共享密钥
S1(config-isakmp)#encryption des
//加密方法使用des
S1(config-isakmp)#hash md5
//散列算法使用md5
S1(config-isakmp)#group 2
//DH模长度为1024
第六步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco1234”。
S1(config)#crypto isakmp identity address
S1(config)#crypto isakmp key cisco1234 address 218.94.26.2
第七步:设置ipsec转换集。
S1(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac
S1(cfg-crypto-trans)#mode tunnel
第八步:设置加密图。
S1(config)#crypto map cisco 10 ipsec-isakmp
S1(config-crypto-map)#match address 102
//加载感兴趣流
S1(config-crypto-map)#set peer 218.94.26.2
//设置对等体地址
S1(config-crypto-map)#set transform-set ccie
//选择转换集
S1(config-crypto-map)#set pfs group2
//设置完美前向保密,DH模长度为1024
第九步:在外部接口上应用加密图。
S1(config)#int s0
S1(config-if)#crypto map cisco
PIX515E和Cisco 2500路由器全配置
此例中,PIX防火墙全配置如下:
PIX# sh run
: Saved
:
PIX Version 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 218.94.26.2 255.255.255.224
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX
ftp mode passive
access-list secure extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
monitor-interface outside
monitor-interface inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list secure
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 218.94.26.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
crypto ipsec transform-set ccsp esp-des esp-md5-hmac
crypto map cisco 10 match address secure
crypto map cisco 10 set pfs
crypto map cisco 10 set peer 202.102.11.34
crypto map cisco 10 set transform-set ccsp
crypto map cisco interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet 10.1.1.0 255.255.255.0 inside
//允许内部网络的用户telnet到pix进行管理
telnet timeout 5
ssh timeout 5
console timeout 0
tunnel-group 202.102.11.34 type ipsec-l2l
tunnel-group 202.102.11.34 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
此例中,S1路由全器配置如下:
S1#sh run
Building configuration...
Current configuration : 1407 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname S1
!
enable secret 5 $1$mYFw$K.4sWnBVKNPzYZ74jZ1Or0
enable password itany
!
ip subnet-zero
no ip domain-lookup
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key cisco1234 address 218.94.26.2
!
!
crypto ipsec transform-set ccie esp-des esp-md5-hmac
!
crypto map cisco 10 ipsec-isakmp
set peer 218.94.26.2
set transform-set ccie
set pfs group2
match address 102
!
!
!
!
interface Ethernet0
ip address 10.2.2.1 255.255.255.0
ip nat inside
!
interface Serial0
ip address 202.102.11.34 255.255.255.252
ip nat outside
crypto map cisco
!
interface Serial1
no ip address
shutdown
!
interface BRI0
no ip address
encapsulation hdlc
!
ip nat inside source list 101 interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 202.102.11.33
no ip http server
!
access-list 101 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 permit ip 10.2.2.0 0.0.0.255 any
access-list 102 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
logging synchronous
line aux 0
password cisco
login
line vty 0 4
password cisco
login
!
end
