PIX 7.x系统中的EZVPN server配置

network

PIX 7.x系统中的EZVPN server配置  
第一步，配置NAT1和NAT0，其中NAT0的流量为VPN流量。
pixfirewall(config)# nat (inside) 1 10.2.2.0 255.255.255.0
pixfirewall(config)# global (outside) 1 interface
pixfirewall(config)# access-list vpn permit ip 10.2.2.0 255.255.255.0 10.3.3.0 255.255.255.0
pixfirewall(config)# nat (inside) 0 access-list vpn
第二步，配置本地地址池，为VPN接入用户分配IP地址。
pixfirewall(config)# ip local pool vpn-address 10.3.3.1-10.3.3.254
第三步，配置ISAKMP策略。
pixfirewall(config)# crypto isakmp enable outside
pixfirewall(config)# crypto isakmp policy 10 authentication pre-share               
pixfirewall(config)# crypto isakmp policy 10 encryption 3des
pixfirewall(config)# crypto isakmp policy 10 hash sha        
pixfirewall(config)# crypto isakmp policy 10 group 2
第四步，配置IPSec转换集以及动态映射。
pixfirewall(config)# crypto ipsec transform-set ccie esp-sha-hmac esp-3des
pixfirewall(config)# crypto dynamic-map vpn-dynamic 10 set transform-set ccie
第五步，配置组策略。
pixfirewall(config)# username juniper password cisco
//创建本地数据库
pixfirewall(config)# group-policy remote-policy internal
pixfirewall(config)# group-policy remote-policy attributes
pixfirewall(config-group-policy)# split-tunnel-policy tunnelspecified
pixfirewall(config-group-policy)# split-tunnel-network-list value vpn
//设置split-tunnel，让客户端在访问公司网络的同时也能访问internet
pixfirewall(config-group-policy)# dns-server value 10.2.2.10

pixfirewall(config)# tunnel-group remote type ipsec-ra
pixfirewall(config)# tunnel-group remote general-attributes
pixfirewall(config-general)# address-pool vpn-address
pixfirewall(config-general)# authentication-server-group local
pixfirewall(config-general)# default-group-policy remote-policy
//在组策略中配置地址池，并且分配默认策略
pixfirewall(config)# tunnel-group remote ipsec-attributes
pixfirewall(config-ipsec)# pre-shared-key cisco1234
//设置预共享密钥
第六步，配置加密图。
pixfirewall(config)# crypto map juniper 10 ipsec-isakmp dynamic vpn-dynamic
pixfirewall(config)# crypto map cisco interface outside