Cisco+Pix515E防火墙配置详解

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一、PIX515分步配置

1．准备工作 (2)

2．启动接口与转换地址 (2)

3．配置IPSEC VPN (3)

4．配置VPN Client 拨入组 (5)

二、VPN Client配置 (11)

注释：以！开始,灰色

实际配置：红色

用户填写参数：斜体绿色

需修改：斜体兰色带下划线

一、PIX515分步配置

1. 准备工作

1）连接Console口的线缆一条，带有串行接口的笔记本一台

2）进入配置模式

实际配置：

pixfirewall> enable ！进入特权模式

pixfirewall# config terminal ！进入全局配置模式

pixfirewall (config)# hostname pix515 ！设置防火墙主机名为pix515

pix515(config)# enable password 123456 ！设置进入特权模式的密码为123456 2．启动接口与转换地址

工作内容：

1)开启接口与端口、为端口命名并设置安全级别

2)端口地址转换

【步骤1】：开启接口与端口

命令步骤：

实际配置：

interface ethernet0 auto ！启用以太网0口使用自适应模式

interface ethernet1 100full ！启用以太网1口并以100mbit/s全双工模式通信nameif ethernet0 outside security0 ！为以太网端口0命名，并设安全级别为0 nameif ethernet1 inside security100 ！为以太网端口1命名，并设安全级别为100 ip address outside 218.247.x.x 255.255.255.128

！设置（ethernet0端口）外网IP地址及掩码

ip address inside 192.168.x.x 255.255.255.0

！设置（ethernet1端口）内网IP地址及掩码

fixup protocol http 80 ！启用http协议，对应该商品80，用来上WEB网

fixup protocol ftp 21 ！启用ftp协议，对应端口21，文件传输协议

fixup protocol smtp 25 ！启用smtp协议，对应端口25，用于邮件发送

【步骤2】：端口地址转换

命令步骤：

实际配置：

global (outside) 1 interface ！这里的interface用来指定外部端口上的IP地址用于PAT

nat (inside) 1 0.0.0.0 0.0.0.0 ！允许局域网内所有网段的主机访问外网

route outside 0.0.0.0 0.0.0.0 121.13.x.x

！(route 命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口(outside口)离开并转发到下一跳路由器的IP地址121.13.x.x

3．配置IPSEC VPN

工作内容：

1)配置IKE

2)配置IPSEC

【步骤1】：配置IKE

命令步骤：

实际配置：

isakmp enable outside ！在外部接口上启用IKE协商

isakmp key654321address 0.0.0.0 netmask 0.0.0.0

！设置预共享密钥和远端IP地址及子网掩码

isakmp identity address ！将IKE身份设置成接口的IP地址

isakmp nat-traversal 20 ！缺省keepalives时间20秒

isakmp policy 10 authentication pre-share

！使用预先共享密钥进行认证，配置基本的IKE策略

isakmp policy 10 encryption des

！指定56们的DES做为IKE策略的加密算法

isakmp policy 10 hash md5

！指定MD5用于IKE策略加密算法

isakmp policy 10 group 2 ！定义phase1进行IKE协商使用DH group 2

isakmp policy 10 lifetime 86400！每个安全关联的生存周期为86400秒(1天)【步骤2】：配置IPSEC

命令步骤：

实际配置：

sysopt connection permit-ipsec！对所有的IPSec流量不检测允许通过

crypto ipsec transform-set hj_set esp-des esp-md5-hmac

！可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，

那么只能定义一种变换集。用户能够选择多达三种变换。

crypto dynamic-map dynmap10 set transform-set hj_set

！使用动态安全关联--创建动态的保密图集

crypto map hj_map 10 ipsec-isakmp dynamic dynmap

！将动态保密图集加入到正规的图集中(将动态加密图与静态加密图绑定)

crypto map hj_map client configuration address initiate

！配置给每个vpn client分配IP地址

crypto map hj_map client configuration address respond

！配置防火墙接受来自任何地址的请求

crypto map hj_map interface outside

！绑定动态加密图到outside(ethernet0端口)接口

4．配置VPN Client 拨入组

注:

router#copy running-config startup-config ；保存配置

router#copy running-config tftp ；保存配置到tftp