带有NAT的PIX实现IPSec VPN连接(1)

　　前言

　　在此示例配置，远程PIX 通过动态主机配置协议(DHCP)收到IP地址并且连接到中央PIX。此配置允许中央PIX接受动态IPSec连接。 远程PIX使用网络地址转换(NAT) "加入"专用地址设备在它之后对专用地址网络在中央PIX 之后。远程PIX可以首次与中央PIX (的连接知道终端)，但中央PIX不可以首次与远程PIX (的连接不知道终端)。

　　在此示例配置，Tiger是远程PIX和 Lion 是中央PIX。我们不了解什么Tiger的IP地址将是，因此我们必须配置Lion动态地接受连接从任何地方知道计算机通配符 ，预共享密钥。 Tiger知道什么数据流将被加密(因为由访问控制列表指定)并且Lion终点哪里被找出。 Tiger必须首次连 接。两边执行NAT和NAT 0 绕过NAT为IPSec信息数据流。

　　另外，异地用户在此配置连接到中央 PIX (Lion)使用异地用户不能连接到远程PIX的 Cisco VPN Client 3.x. (Tiger)因为两边将有并且不知道在哪里发 送请求的动态地指定的IP地址。

　　在您开始之前

　　惯例

　　欲 知关于文件惯例的更多信息，请参阅 Cisco技 术提示惯例。

　　前提

　　此文档没有特殊的先决 条件。

　　使用的组件

　　此配置使用以 下的软件及硬件版本实施了并且测试了。

　　Cisco PIX防火墙软件版本6.0(1) (或极大为 Cisco VPN Client 3.x)

　　Cisco PIX防 火墙软件版本5.3.1 (远程PIX)

　　Cisco VPN客户端版本3.x 配置

　　在此部分，您介绍用信 息配置在本文描述的功能。

　　注意： 找到其它信息关于用于本文的命令，使用IOS命 令查找工具。

　　网络图

　　本文使用网络建立图示如下的。

　　Lion配置

　　Building configuration...

　　: Saved

　　:

　　PIX Version 6.0(1)

　　nameif gb-ethernet0 spare1 security10

　　nameif gb-ethernet1 spare2 security15

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　enable password 8Ry2YjIyt7RRXU24 encrypted

　　passwd 2KFQnbNIdI.2KYOU encrypted

　　hostname lion

　　domain-name cisco.com

　　fixup protocol ftp 21

　　fixup protocol http 80

　　fixup protocol h323 1720

　　fixup protocol rsh 514

　　fixup protocol smtp 25

　　fixup protocol sqlnet 1521

　　fixup protocol sip 5060

　　fixup protocol skinny 2000

　　names

　　!

　　!--- ACL to avoid Network Address Translation (NAT) on the IPSec packets

　　access-list 100 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0

　　access-list 100 permit ip 10.2.2.0 255.255.255.0 10.3.3.0 255.255.255.0

　　!

　　pager lines 24

　　logging buffered debugging