使用VPN Client 简单的VPN登入PIX-xxlinux.com




┊linux社区┊ 爱心援助 ┊ Linux认证┊系列教程 ┊ 业界动态┊ 站务新闻 ┊ 公司招聘┊ 建议留言 ┊ 网址大全 ┊LPI专题┊ CISCO专题

设为首页

加入收藏

管理团队

联盟首页	入门区	安装配置	使用技巧	桌面应用	开发区	WEB开发	数据库	内核研究	SHELL	软件开发
软件下载	网络区	服务器	网络应用	网络安全	UNIX区	UNIX入门	UNIX提高	C专题	JAVA专题	嵌入应用
开发语言	PHP	JSP	ASP	ASP.NET	JAVA	C/C++/C#	PERL	JavaScript	Basic	Delphi

		您的位置：首页 > 专题栏目 > cisco >

栏目导栏

LPI

cisco

资料搜索

最新文章

·利用UNIX系统的TFTP和RCP配置路

·CCNA试验考试命令总结

·用命令行在Cisco设备上查看机框

·交换机介绍网管必读的技术资料

使用VPN Client 简单的VPN登入PIX

[ 作者:Linux联盟收集加入时间:2006-07-25 12:41:25 来自:Linux联盟收集 ]

做一个最简单的PIX和VPN client连接，不需要验证服务器。

　　环境如下:

　　VPN client----------

------------PIX-------------

-------

　　192.168.10.1 218.218

.218.218 192.168.100.1

　　VPN分配IP为192.168.100.10-192.168.100.200

　　PIX Version 6.3(3)

　　interface ethernet0 auto

　　interface ethernet1 100full

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　enable password AmL5

3.8shQrncOlX encrypted

　　passwd 2KFQnbNIdI.2KYOU encrypted

　　hostname pixfirewall

　　fixup protocol dns maximum-length 512

　　fixup protocol ftp 21

　　fixup protocol h323 h225 1720

　　fixup protocol h323 ras 1718-1719

　　fixup protocol http 80

　　fixup protocol rsh 514

　　fixup protocol rtsp 554

　　fixup protocol sip 5060

　　fixup protocol sip udp 5060

　　fixup protocol skinny 2000

　　fixup protocol smtp 25

　　fixup protocol sqlnet 1521

　　fixup protocol tftp 69

　　names

　　access-list no-nat permit ip 192
255.255.255.0

.168.100.0 255.255.255.0 192.168.100.0

　　!定义不进行NAT的传输，

　　pager lines 24

　　interface ethernet0 auto

　　interface ethernet1 auto

　　mtu outside 1500

　　mtu inside 1500

　　ip address outside 218.218.218 2

55.255.255.0

　　！定义PIX的outside口IP

　　ip address inside 19

2.168.100.1 255.255.255.0

　　！定义PIX的inside口IP

　　ip audit info action alarm

　　ip audit attack action alarm

　　ip local pool dialer 192.168.100

.10-192.168.100.200

　　!定义分配给VPN client的IP地址池

　　no failover

　　failover timeout 0:00:00

　　failover poll 15

　　failover ip address outside 0.0.0.0

　　failover ip address inside 0.0.0.0

　　pdm logging informational 100

　　pdm history enable

　　arp timeout 14400

　　global (outside) 1 interface

　　nat (inside) 0 access-list no-nat

　　！定义不需要进行NAT传输的流量

　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0

　　route outside 0.0.0.

0 0.0.0.0 218.218.218.1 1

　　timeout xlate 3:00:00

　　timeout conn 1:00:00
si

half-closed 0:10:00 udp 0:0

2:00 rpc 0:10:00 h323 0:05:00

　　p 0:30:00 sip_media 0:02:00

　　timeout uauth 0:05:00 absolute

　　aaa-server TACACS+ protocol tacacs+

　　aaa-server RADIUS protocol radius

　　aaa-server LOCAL protocol local

　　!服务器使用的协议

　　http server enable

　　http 10.1.1.0 255.255.255.255 inside

　　no snmp-server location

　　no snmp-server contact

　　snmp-server community public

　　no snmp-server enable traps

　　floodguard enable

　　sysopt connection permit-ipsec

　　!对于所有IPSec流量不

检测允许其通过，如果不加这个

命令的话，需要加上ACL到ou

　　tside口以允许特定的IPSce流量通过，但会控制更加灵活。

　　no sysopt route dnat

　　crypto ipsec transform-set aaade

s esp-des esp-md5-hmac

　　！定义一个变换集aaades

　　crypto dynamic-map dynomap 10 se

t transform-set aaades

　　！把变换集aaades添加到动态加密策略dynomap

　　crypto map vpnpeer 2

0 ipsec-isakmp dynamic dynom

　　！把动态加密策略绑定到vpnpeer 加密图

　　crypto map vpnpeer c

lient authentication LOCAL

　　!定义不需要验证服务器，使用的是PIX自己的用户验证。

　　crypto map vpnpeer client config

uration address initiate

　　!定义给每个客户端分配IP地址

　　crypto map vpnpeer c

lient configuration address

respond

　　!定义PIX防火墙接受来自任何IP的请求

　　crypto map vpnpeer interface outside

　　!把动态加密图vpnpeer绑定到outside口

　　isakmp enable outside

　　!在outside口启用isakmp

　　isakmp key 1234 addr

ess 0.0.0.0 netmask 0.0.0.0

　　!定义共享密匙，并接受任何地址的请求。

　　isakmp client configuration addr

ess-pool local dialer outside

　　！将VPN client地址池绑定到isakmp

　　isakmp policy 10 aut

hentication pre-share

　　!定义phase 1使用pre-shared key进行认证

　　isakmp policy 10 encryption des

　　！定义phase 1协商用DES加密算法

　　isakmp policy 10 hash md5

　　！定义phase 1协商用MD5散列算法

　　isakmp policy 10 group 2

　　!定义phase 1进行IKE协商使用DH group 2

　　isakmp policy 10 lifetime 86400

　　！定义IKE SA生存时间

　　vpngroup student0 address-pool dialer

　　！定义VPN client拨入使用的vpngroup所分配的IP地址池

　　vpngroup student0 idle-time 1800

　　！定义vpngroup的空闲时间

　　vpngroup student0 password 1234

　　！定义vpngroup的pre-shared key

　　telnet 192.168.100.9 255.255.255

.0 inside

　　telnet timeout 5

　　ssh 192.168.100.9 25

5.255.255.255 inside

　　ssh timeout 20

　　terminal width 80

　　username vpnuser password vpnuser

　　！在PIX上创建一个用户，用户名密码都为vpnuser

　　Cryptochecksum:693b8

7faa42d062c2848346a3a0acb43

　　pixfirewall#

　　VPN client版本为4.0.5，先在Conne

ction Entries里创建一个连接，在最上面填入。

　　Connection Entry:vpnpeer1

　　Description:test

　　Host:218.218.218.218

　　在Authentication里的

GROUP Authentication里填入。

　　Name:student0 #就是vpngroup name

　　Password:1234 #就是vpngroup password

　　Confirm Password:1234

　　name和password要和PIX中的vpngroup和key一致。

　　在vpn client进行连接的时候会有一
可以了。

个窗口弹出，要输入用户名和密码，输入vpnuser就

Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论

【评论】【加入收藏夹】【大中小】【打印】【关闭】

※ 相关链接

·Cisco pix 525 vpdn +acs 用户验证 (2006-07-25 12:39:52)

·思科PIX防火墙VPN的配置实例 (2006-07-25 12:25:31)

·linux服务器上设置VPN (2006-07-24 21:47:03)

·虚拟机qemu的使用 (2006-07-22 19:56:29)

·CISCO PIX 防火墙及网络安全配置 (2006-07-22 13:20:16)

·在php中使用sockets：从新闻组中获取文章 (2006-07-21 18:07:10)

·使用PHP维护文件系统 (2006-07-21 18:06:51)

·Cisco PIX Syslog 配置说明 (2006-07-20 12:45:09)

·Cisco PIX 防火墙安装指南 (2006-07-20 12:38:38)

·详细介绍Cisco Secure PIX 525防火墙 (2006-07-20 12:36:32)



	© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
	Powered by xxlinux.com