PIX525详细配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PIX525—IPSEC-VPN 配置
实验要求:
PIX525—IPSEC-VPN 配置
在PIX525 上进行配置,要求内网PC2 能telnet 登入到PIX525 上;外网PC1 可以通过SSH 方式登入到
PIX525;通过在PIN525 上配置NAT 使内网PC2 可以ping 通外网的R1,R2,PC1;在PIX525 上配置
IPSEC-VPN,使PC1 可以通过IPSEC-VPN 方式登陆到内网上,并PING 通内网主机PC2。IP 地址表:(如图)
实验配置如下:
一、路由器和PC 机配置
配置R1:
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int E0
PIX525—IPSEC-VPN 配置
R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run
配置R2:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run
配置PC 机:
PC1:修改本地连接的TCP/IP 属性,设置IP:11.1.1.10 掩码:255.255.255.0 网关:11.1.1.254
PC2:修改本地连接的TCP/IP 属性,设置IP:192.168.11.10 掩码:
255.255.255.0 网关:192.168.11.254
二、PIX525 防火墙配置:
1.接口配置:
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0
PIX525—IPSEC-VPN 配置
PIX525(config-if)#nameif outside //设置接口为外网接口,启动安全级别为0 PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0
PIX525(config-if)#nameif inside //设置接口为内网接口,启动安全级别为100 PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#
2 配置允许内网telnet 登入:
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //设置E1 连接的内网所有主机可以远程登入到PIX 上
PIX525(config)#passwd spoto //设置内网主机Telnet 登入到PIX 上的密码
PIX525(config)#enable password spoto
3.配置允许外网SSH 登入:
PIX525(config)#ca zeroize //清除原有的CA 配置
PIX525(config)#ca generate //配置CA 为普通级别配置
PIX525(config)#ca save //保存CA 配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //允许外部所有网络通过SSH 方式从E0 口登入
PIX525(config)#username admin password admin //建立一本地用户,VPN 和SSH 登入时使用
PIX525(config)#aaa authentication ssh LOCAL //使用本地用户认证
4.配置PAT:
PIX525(config)#global (outside) 1 interface //通过出接口方式转换为外网地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //允许转换的内部地址网络PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默认路由,让内网能ping 通外网网段
为了让内网的机器能够PING 出去还要加上: //默认情况下,外网是不允许ping 通内网的,当内网的
ping 包出去后,在返回时候会被outside 接口拒绝或者丢弃,所以要让outside 接口能接受这个包,作
如下配置:
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside
5.IPSEC-VPN 配置:
PIX525(config)#ip local pool ipsecvpn 192.168.11.20-192.168.11.120 mask
255.255.255.0
//建立VPN 动态IP 地址池,当外网用户使用IPSEC--VPN 方式登陆时候,自动从IP 池分配一个IP 给用户
PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//建立列表允许内网网段(含VPN 网段)通过PIX 防火墙时,不需要NAT 转换
PIX525—IPSEC-VPN 配置