科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道PIX与VPNclient的互连(2)

PIX与VPNclient的互连(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

vpn client是cisco的一款vpn客户端软件,专门用来与cisco的产品(PIX,router,VPN 3000集中器)作vpn连接使用,近日做了一下PIX和VPN client互连的实验,先把pre-shared key的配置写一下。

作者:51CTO.COM 2007年10月30日

关键字: NAT VPN PIX

  • 评论
  • 分享微博
  • 分享邮件

  pdm history enable

  arp timeout 14400

  global (outside) 1 interface

  nat (inside) 0 access-list 80

  !定义不进行NAT的流量

  nat (inside) 1 0.0.0.0 0.0.0.0 0 0

  access-group test in interface outside

  route outside 0.0.0.0 0.0.0.0 192.168.0.243 1

  timeout xlate 3:00:00

  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

  p 0:30:00 sip_media 0:02:00

  timeout uauth 0:05:00 absolute

  aaa-server TACACS+ protocol tacacs+

  aaa-server RADIUS protocol radius

  aaa-server myserver protocol tacacs+

  !定义AAA服务器使用的协议

  aaa-server myserver (inside) host 10.1.1.88 1234 timeout 5

  !定义AAA服务器的IP地址(装了ACS的服务器)

  http server enable

  http 10.1.1.88 255.255.255.255 inside

  no snmp-server location

  no snmp-server contact

  snmp-server community public

  no snmp-server enable traps

  floodguard enable

  sysopt connection permit-ipsec

  !对于所有IPSec流量不检测允许其通过,如果不加这个命令的话,

  需要加上ACL到outside口以允许特定的IPSce流量通过,但会控制更加灵活。

  no sysopt route dnat

  crypto ipsec transform-set aaades esp-des esp-md5-hmac

  !定义phase 2的加密和散列算法作为一个transform-set

  crypto dynamic-map dynomap 10 set transform-set aaades

  !把transform-set绑定到dynamic-map

  crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap

  !把dynamic-map绑定到vpnpeer

  crypto map vpnpeer client authentication myserver

  !定义进行xauth使用的AAA服务器

  crypto map vpnpeer interface outside

  !把crypto map绑定到outside口

  isakmp enable outside

  !在outside口绑定isakmp

  isakmp client configuration address-pool local dialer outside

  !配置分配给VPN client的地址池

  isakmp policy 10 authentication pre-share

  !定义phase 1使用pre-shared key进行认证

  isakmp policy 10 encryption des

  !定义phase 1协商用DES加密算法

  isakmp policy 10 hash md5

  !定义phase 1协商用MD5散列算法

  isakmp policy 10 group 2

  !定义phase 1进行IKE协商使用DH group 2

  isakmp policy 10 lifetime 86400

  !定义IKE SA生存期

  vpngroup student0 address-pool dialer

  !定义VPN client拨入使用的vpngroup所分配的IP地址池

  vpngroup student0 idle-time 1800

  !定义vpngroup的空闲时间

  vpngroup student0 password 1234

  !定义vpngroup的pre-shared key

  telnet 10.1.1.88 255.255.255.255 inside

  telnet timeout 5

  ssh 10.1.1.88 255.255.255.255 inside

  ssh timeout 20

  terminal width 80

  Cryptochecksum:693b87faa42d062c2848346a3a0acb43

  pixfirewall#

  

  VPN client版本为4.0.3,先创建一个连接,使用pre-shared key,group name和password要和PIX中的vpngroup和key一致。

  

  

  在vpn client进行IKE协商后会有一个窗口弹出,要输入用户名和密码,这是因为cisco的VPN使用了xauth,要再验证一次ACS服务器中设置的帐号,输入即可。不过,如果在PIX中没有加这一句

  

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号