Cisco PIX 防火墙 EzVPN 配置 模版 面 1定义VPN客户端被分配到的地址池 pix ( config )# ip local pool ezvpn-pool 192.168.1.1-192.168.1.100 pix(config)# ip local pool ezvpn-pool2 192.168.1.101-192.168.1.200 2定义VPN组用户属性 pix(config)# vpngro
Cisco PIX防火墙 EzVPN配置模版面
1>定义VPN客户端被分配到的地本文来源gaodai#ma#com搞*!代#%^码网5址池
pix(config)# ip local pool ezvpn-pool 192.168.1.1-192.168.1.100
pix(config)# ip local pool ezvpn-pool2 192.168.1.101-192.168.1.200
2>定义VPN组用户属性
pix(config)# vpngroup test1 address-pool ezvpn-pool
pix(config)# vpngroup test1 dns-server 10.1.2.33
pix(config)# vpngroup test1 default-domain test.com
pix(config)# vpngroup test1 split-tunnel NONAT
pix(config)# vpngroup test1 password cisco
pix(config)# vpngroup test2 address-pool ezvpn-pool2
pix(config)# vpngroup test2 dns-server 10.1.2.33
pix(config)# vpngroup test2 default-domain test.com
pix(config)# vpngroup test2 split-tunnel NONAT
pix(config)# vpngroup test2 password cisco
3>定义不需要被NAT转换,走VPN的数据流
pix(config)# access-list NONAT permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
pix(config)# nat (inside) 0 access-list NONAT
4>启用XAUTH用户认证
使用本地认证(PIX 6.3以上):
pix(config)# aaa-server LOCAL protocol local
pix(config)# username sense password cisco
pix(config)# crypto map mymap client authentication LOCAL
使用AAA认证(PIX 6.2以上):
pix(config)# aaa-server tacacs+ protocol tacacs+
pix(config)# aaa-server tacacs+ (inside) host 192.168.9.33 cisco
pix(config)# crypto map mymap client authentication tacacs+
pix(config)# aaa-server radius protocol tacacs+
pix(config)# aaa-server radius (inside) host 192.168.9.34 cisco
pix(config)# crypto map mymap client authentication raiuds+
5>定义ISAKMP策略
pix(config)# isakmp enable outside
pix(config)# isakmp identity address
pix(config)# isakmp policy 10 authen pre-share
pix(config)# isakmp policy 10 encry des
pix(config)# isakmp policy 10 hash md5
pix(config)# isakmp policy 10 group 2
6>定义tunnel-mode的传输集
pix(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
7>定义,绑定动态,静态加密映射
pix(config)# crypto dynamic-map dynmap 10 set transform-set mytrans
pix(config)# crypto map mymap 10 ipsec-isakmp dynamic dynmap
pix(config)# crypto map mymap interface outside
9>开启IKE Mod Config,定义由谁初始化IKE链接。
- initiate为VPN Server端发起IKE初始化。
- respond为VPN Client端发起IKE初始化。
pix(config)# crypto map mymap client configuration address initiate
pix(config)# crypto map mymap client configuration address respond
10>使用ACL或如下命令信任IPSEC流量
pix(config)# sysopt connection permit-ipsec
配 置实例:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
基本接口配置
pix(config)#interface eth0 auto
pix(config)#interface eth1 auto
pix(config)#nameif eth0 outside security0
pix(config)#nameif eth1 inside security100
pix(config)#ip address outside 218.1.1.2 255.255.255.0
pix(config)#ip address inside 10.100.1.1 255.255.255.0
设置默认路由
pix(config)#route outside 0 0 218.1.1.1
规定不需要进行nat的流量以及需要被IPSec保护的流量
pix(config)# access-l ezvpn permit ip 10.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0
设置nat0
pix(config)# nat (inside) 0 access-list ezvpn
设置客户端的地址池
pix(config)# ip local pool ezvpn-pool 192.168.1.1-192.168.1.254
isakmp参数配置
pix(config)# isakmp enable outside
pix(config)# isakmp identity address
pix(config)# isakmp policy 20 authen pre-share
pix(config)# isakmp policy 20 encry 3des
pix(config)# isakmp policy 20 hash sha
pix(config)# isakmp policy 20 group 2
设置转换集以及动态映射
pix(config)# crypto ipsec transform-set ccsp esp-3des esp-sha-hmac
pix(config)# crypto dynamic-map vpn-dyn 10 set transform-set ccsp
配置crypto map
pix(config)# crypto map cisco 10 ipsec-isakmp dynamic vpn-dyn
pix(config)# crypto map cisco client conf address initiate
pix(config)# crypto map cisco interface outside
组策略配置
pix(config)# vpngroup mobile address-pool ezvpn-pool
pix(config)# vpngroup mobile dns-server 10.100.1.80
pix(config)# vpngroup mobile default-domain itany.com
pix(config)# vpngroup mobile split-tunnel ezvpn
pix(config)# vpngroup mobile password cisco1234
允许在IPSec隧道中传输任何数据
pix(config)# sysopt connection permit-ipsec
文章转载至 思科技术论坛无忧网客联盟
转载请注明原文链接:Cisco PIX防火墙 EzVPN配置模版面
