PIX525—IPSEC-VPN 配置

network

PIX525—IPSEC-VPN 配置




实验要求：




PIX525—IPSEC-VPN 配置


在 PIX525 上进行配置，要求内网 PC2 能 telnet 登入到 PIX525 上；外网 PC1 可以通过 SSH 方式登入到
PIX525；通过在 PIN525 上配置 NAT 使内网 PC2 可以 ping 通外网的 R1，R2，PC1；在 PIX525 上配置
IPSEC-VPN，使 PC1 可以通过 IPSEC-VPN 方式登陆到内网上，并 PING 通内网主机 PC2。
IP 地址表：（如图）
实验配置如下:
一、路由器和 PC 机配置
配置 R1：
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1    255.255.255.0
R1(config-if)#no shut

R1(config-if)#int E0

PIX525—IPSEC-VPN 配置


R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run



配置 R2：
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2    255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2    255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run



配置 PC 机：
PC1：修改本地连接的 TCP/IP 属性，设置 IP：11.1.1.10        掩码：255.255.255.0        网关：11.1.1.254
PC2：修改本地连接的 TCP/IP 属性，设置 IP：192.168.11.10        掩码：255.255.255.0        网关：192.168.11.254



二、PIX525 防火墙配置：
1.接口配置：
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0

PIX525—IPSEC-VPN 配置
PIX525(config-if)#nameif outside          //设置接口为外网接口，启动安全级别为 0
PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0

PIX525(config-if)#nameif inside            //设置接口为内网接口，启动安全级别为 100
PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#

2 配置允许内网 telnet 登入：
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside    //设置 E1 连接的内网所有主机可以远程登入到 PIX 上
PIX525(config)#passwd spoto          //设置内网主机 Telnet 登入到 PIX 上的密码
PIX525(config)#enable password spoto   

3.配置允许外网 SSH 登入：
PIX525(config)#ca zeroize            //清除原有的 CA 配置
PIX525(config)#ca generate        //配置 CA 为普通级别配置
PIX525(config)#ca save                //保存 CA 配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside    //允许外部所有网络通过 SSH 方式从 E0 口登入
PIX525(config)#username admin password admin    //建立一本地用户，VPN 和 SSH 登入时使用
PIX525(config)#aaa authentication ssh LOCAL    //使用本地用户认证

4.配置 PAT：
PIX525(config)#global (outside) 1 interface      //通过出接口方式转换为外网地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0    //允许转换的内部地址网络
PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2             //起默认路由，让内网能 ping 通外网网段
为了让内网的机器能够 PING 出去还要加上：        //默认情况下，外网是不允许 ping 通内网的，当内网的
ping 包出去后，在返回时候会被 outside 接口拒绝或者丢弃，所以要让 outside 接口能接受这个包，作
如下配置：
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside

5.IPSEC-VPN 配置：
PIX525(config)#ip local pool ipsecvpn 192.168.11.20-192.168.11.120 mask 255.255.255.0
//建立 VPN 动态 IP 地址池,当外网用户使用 IPSEC--VPN 方式登陆时候，自动从 IP 池分配一个 IP 给用户

PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//建立列表允许内网网段（含 VPN 网段）通过 PIX 防火墙时，不需要 NAT 转换



PIX525—IPSEC-VPN 配置

PIX525(config)#nat (inside) 0 access-list nonat    //应用访问控制列表，0 表示不进行转换

PIX525(config)# sysopt connection permit-vpn
――――――
PIX525(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0     
PIX525(config)#group-policy spoto internal              //建立内部组策略，命名为 spoto   
PIX525(config)#group-policy spoto attributes
PIX525(config-group-policy)#vpn-idle-timeout 20            //设置 VPN 超时时间为 20 钟
PIX525(config-group-policy)#split-tunnel-policy tunnelspecified      //建立隧道分离策略
PIX525(config-group-policy)#split-tunnel-network-list value tunnellist   
//与 tunnellist 匹配的网络将全部使用隧道分离
――――――
PIX525(config-group-policy)#exit

PIX525(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac   
//ipsec 的数据转换格式集通过 des 方式加密，对方通过哈希表-md5 方式还原数据

PIX525(config)#crypto dynamic map mydynmap 20 set transform-set myset
//建立加密动态映射图，并采用上建的 myset 方式加密解密

PIX525(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap
//建立加密静态映射图，加密静态映射图中 ipsec-isakmp 采用上建的加密动态映射图加密

PIX525(config)#crypto map mymap interface outside  //将加密静态映射图应用于外网接口

PIX525(config)#crypto isakmp identity address    //isakmp 采用地址验证

PIX525(config)#crypto isakmp enable outside      //isakmp 应用于外网接口
// isakmp:Internet Security Association and Key Management Protocol policy.
互连网安全密钥管理协议策略        应用到外网接口
――――――
PIX525(config)#crypto isakmp policy 10      //建立 isakmp 策略
PIX525(config-isakmp-policy)#authentication pre-share //使用共享密钥认证

PIX525(config-isakmp-policy)#encryption des    //使用 des 算法加密

PIX525(config-isakmp-policy)#hash md5          //哈希使用 MD5 算法还原数据

PIX525(config-isakmp-policy)#end


PIX525—IPSEC-VPN 配置


PIX525(config)#tunnel-group spoto10 type ipsec-ra    //建立 VPN 远程登入(即使用隧道分离)组

PIX525(config)#tunnel-group general-attributes //配置 VPN 远程登入(即使用隧道分离)组的基本属性

PIX525(config-tunnel-general)#address-pool ipsevvpn //设置 VPN 登入内网时分配的 IP 地址池

PIX525(config-tunnel-general)#authentication-server-group LOCAL        //服务端组使用本地认证
――――――
PIX525(config-tunnel-general)#default-group-policy spoto    //指定默认的组策略为 spoto   
――――――
PIX525(config-tunnel-general)#exit
PIX525(config)#tunnel-group  spoto10  ipsec-attributes    //设置 VPN 远程登入(即使用隧道分离)组的
ipsec 属性

PIX525(config-tunnel-ipsec)#pre-share-key spoto    //设置使用的共享密钥为 spoto

6.验证：
在外网        PC1        上使用        VPN        方式测试是否能成功登入到        PIX525        上（需要安装        VPN-CLIENT        软件），在
VPN-CLIENT 上 host 项上输入 PIX525 的 outside 接口地址，然后输入 VPN 组 spoto10 和密码 spoto，
点击连接，等待输入用户名和密码。输入完用户名密码等待 PIX 验证后，在运行下输入 cmd 进入 CLI 模
式。在 CLI 模式下输入 ipconfig  /all 查看是否获取到 ipsecvpn 地址池中分配到的 IP 地址，若分配到则
成功使用 VPN 方式登入到了 PIX 上，确切说登入到了内部网络上。这样 PC1 就如同在内部网络中一样可
以随意使用内部网络资源了！

实验总结：




PIX525—IPSEC-VPN 配置

PIX525（V7.0）IPSEC VPN 配置步骤：
1.        配置内外网接口；
2.        配置内网远程登入和外网 SSH 登入；
3.        配置 PAT；（包含起一条去外网的默认路由）
4.        配置 IPSEC-VPN：
①        建立本地 IPSEC VPN        客户端 IP 地址池；
②        起 NONAT；
③        建立基本组策略：1.设置 VPN 访问时限；2.建立隧道分离策略；3.为隧道分离策略制定属性值；
④        建立加密图集：1.建立数据交换格式加密集；2.建立加密动态映射图；3.建立加密静态映射图；4.应用
加密静态映射图；5.指定 ISAKMP 采用地址验证；6.应用 ISAKMP；
⑤        建立 ISAKMP 策略：1.指定认证方式(共享密钥)；2.指定哈希表的算法(md5)；3.指定加密方式(des)；
⑥        建立隧道分离组，并指定类型：1.配置隧道分离组的基本属性:⑴指定所用 IP 地址池；⑵指定服务器
认证组(本地);⑶指定隧道分离组的默认组策略；3.配置隧道分离组的        IPSEC        属性：指定所使用的认
证的密码(共享密钥认证)。