PIX525详细配置

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

PIX525—IPSEC-VPN 配置

实验要求:

PIX525—IPSEC-VPN 配置

在PIX525 上进行配置,要求内网PC2 能telnet 登入到PIX525 上;外网PC1 可以通过SSH 方式登入到

PIX525;通过在PIN525 上配置NAT 使内网PC2 可以ping 通外网的R1,R2,PC1;在PIX525 上配置

IPSEC-VPN,使PC1 可以通过IPSEC-VPN 方式登陆到内网上,并PING 通内网主机PC2。IP 地址表:(如图)

实验配置如下:

一、路由器和PC 机配置

配置R1:

Router>en

Router#conf t

Router(config)#hostname R1

R1(config)#int S0

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int E0

PIX525—IPSEC-VPN 配置

R1(config-if)#ip add 11.1.1.254 255.255.255.0

R1(config-if)#no shut

R1(config-if)#router rip

R1(config-router)#network 12.1.1.1

R1(config-router)#network 11.1.1.0

R1(config-router)#end

R1#sh run

配置R2:

Router>en

Router#conf t

Router(config)#hostname R2

R2(config)#int S0

R2(config-if)#ip add 12.1.1.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#clock rate 64000

R2(config-if)#int E0

R2(config-if)#ip add 23.1.1.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#router rip

R2(config-router)#network 12.1.1.2

R2(config-router)#network 23.1.1.2

R2(config-router)#end

R2#sh run

配置PC 机:

PC1:修改本地连接的TCP/IP 属性,设置IP:11.1.1.10 掩码:255.255.255.0 网关:11.1.1.254

PC2:修改本地连接的TCP/IP 属性,设置IP:192.168.11.10 掩码:

255.255.255.0 网关:192.168.11.254

二、PIX525 防火墙配置:

1.接口配置:

pixfirewall>en

pixfirewall#conf t

pixfirewall(config)#ho PIX525

PIX525(config)#int E0

PIX525(config-if)#ip add 23.1.1.3 255.255.255.0

PIX525—IPSEC-VPN 配置

PIX525(config-if)#nameif outside //设置接口为外网接口,启动安全级别为0 PIX525(config-if)#security-level 0

PIX525(config-if)#no shut

PIX525(config-if)#int E1

PIX525(config-if)#ip add 192.168.11.254 255.255.255.0

PIX525(config-if)#nameif inside //设置接口为内网接口,启动安全级别为100 PIX525(config-if)#security-level 100

PIX525(config-if)#no shut

PIX525(config-if)#exit

PIX525(config)#

2 配置允许内网telnet 登入:

PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //设置E1 连接的内网所有主机可以远程登入到PIX 上

PIX525(config)#passwd spoto //设置内网主机Telnet 登入到PIX 上的密码

PIX525(config)#enable password spoto

3.配置允许外网SSH 登入:

PIX525(config)#ca zeroize //清除原有的CA 配置

PIX525(config)#ca generate //配置CA 为普通级别配置

PIX525(config)#ca save //保存CA 配置

PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //允许外部所有网络通过SSH 方式从E0 口登入

PIX525(config)#username admin password admin //建立一本地用户,VPN 和SSH 登入时使用

PIX525(config)#aaa authentication ssh LOCAL //使用本地用户认证

4.配置PAT:

PIX525(config)#global (outside) 1 interface //通过出接口方式转换为外网地址

PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //允许转换的内部地址网络PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默认路由,让内网能ping 通外网网段

为了让内网的机器能够PING 出去还要加上: //默认情况下,外网是不允许ping 通内网的,当内网的

ping 包出去后,在返回时候会被outside 接口拒绝或者丢弃,所以要让outside 接口能接受这个包,作

如下配置:

PIX525(config)#access-list 100 permit icmp any any

PIX525(config)#access-group 100 in interface outside

5.IPSEC-VPN 配置:

PIX525(config)#ip local pool ipsecvpn 192.168.11.20-192.168.11.120 mask

255.255.255.0

//建立VPN 动态IP 地址池,当外网用户使用IPSEC--VPN 方式登陆时候,自动从IP 池分配一个IP 给用户

PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0

//建立列表允许内网网段(含VPN 网段)通过PIX 防火墙时,不需要NAT 转换

PIX525—IPSEC-VPN 配置

相关文档
最新文档