利用PIX与路由器做点对点VPN

　　通过这次配置PIX与路由器做点对点VPN的测试，学到了一些东西，但也受到了很多教训，总体来说，收获比较大。总结下几点：

　　存在的问题：

　　一），思想上重视程度不够，想当然的以为VPN配置不是很复杂，以为看过几遍文档就能把VPN配置出来，对VPN的概念以及原理没有深究，对公司以前配置过的VPN没有细细的分析，配置的步骤不清不楚，只会照葫芦画瓢，没有从根本上掌握VPN技术。

　　二），对技术的研究热情不够，第一次接触做点对点VPN，但是没有认真的研究学习VPN的的原理，导致在测试的过程中不能正确分析问题存在的原因，排错的能力几乎为零。

　　三），准备工作不充分，虽然在网上查找到一些有用的资料，但是仅局限于资料本身的可用性，没有深层次从中考虑到配置VPN的一些原理，用法以及配置的具体步骤和方法。没有利用网上的资料给出测试的方案，画出测试的网络拓扑结构，在测试的过程中十分被动，仅靠网上的几篇文档资料，配置的时候无从下手。

　　四），在测试过程中没有很好的利用现有资源，在遇到困难和问题时候没有很好的给出解决办法，比较过分依赖于同事或者朋友，依靠互联网寻找解决问题、独立思考的能力比较欠缺。

　　一些经验：

　　在配置点对点的VPN的过程中，大概理解了VPN配置的原理，包括加密方式，算法以及验证的模式等。

　　一），初步理解了点对点VPN的一些原理，所谓点对点VPN，是两边同时配置成VPN网关，这样就可以使两个VPN网关设备后面的私网地址互相通信，并不需要转换成公网IP地址再进行访问，一是节省了IP地址，另一方面由于VPN的加密特性也确保了数据的安全性。

　　二），点对点，意味着两边的配置应该完全一样（当然，除非一些自定义的词语以外），这次我做测试的设备一台是思科PIX 515E防火墙，另一个设备是思科2611XM路由器，并且在PIX的设备上已经配置了一个点对点VPN了。这就意味着有个参考的对象。

　　三），在前期的准备工作中，应该使用一些常见的测试方法，比如 ping 命令：在做VPN的同时开启ping外网地址，这样可防止错误操作而导致正常使用的网络中断。还有如tracert命令等。

　　四），在配置过程中，如何清晰的把握配置的原理及步骤是光键，网络的配置往往在一些小的细节方面非常重要，稍不注意全盘不通。在VPN的配置概念中，双方的加密方式，算法以及验证的方式都必须一样，lifetime也必须一样。这里就需要注意一些设备的默认值，比如说思科路由器默认的加密方式是DES，而大多数的设备配置的加密方式都是3DES，如果没注意则配置肯定不成功。

　　虽然事情业已告一段落，但这件事让我受益颇多。

　　一些测试的步骤：

　　PIX配置：

　　通常我们先配置访问控制列表，这里的ACL是应用在点对点VPN里面的，做两个设备后面发现的网段之间的访问控制。做为测试，开启的权限是比较大的，在生产环境中应该根据需求开启相应的端口。

　　写一条访问控制列表：

　　access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0

　　access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0

　　在访问控制列表之后就是配置加密图（在配置模式下进入）：

　　crypto ipsectransform-set testvpn esp-3des esp-md5-hmac

　　配置IPSec变换集。先要定义双方交换的加密方式及算法，这里的testvpn只是一个定义的名称而已，可以自已定义，后面会调用它，而3des是被定义的加密方式，md5-hmac是被定义的hash算法。

　　再定义动态加密图

　　crypto dynamic-map dynmap 10 set transform-set backup

　　把动态加密图集加入到正规图集中

　　crypto map idcvpn 10 ipsec-isakmp dynamic dynmap

　　这几条命令是加密图的必要参数，也就是调用前面的定义的加密方式testvpn，并且应用前面所写的ACL203，定义对端VPN网关地址120.56.147.112（都是在加密图模式下操作）

　　crypto map idcvpn 1 ipsec-isakmp 创建加密图

　　crypto map idcvpn 1 match address 203 引用加密访问列表确定受保护的流量

　　crypto map idcvpn 1 set peer 120.56.147.112 指定对等体

　　crypto map idcvpn 1 set transform-set testvpn 指定使用的变换集

　　crypto map idcvpn interface outside

　　在接口上指定要使用的加密图（outside指外网口）

　　isakmp key ******** address 120.56.147.112 netmask 255.255.255.255

　　指定与对方交换的KEY

　　创建IKE策略：

　　定义认证方法为预共享密鈅

　　isakmp policy 1 authentication pre-share

　　定义认证方法为预加密方式，以及算法，组，生命周期（默认是86400）

　　isakmp policy 1 encryption 3des

　　isakmp policy 1 hash md5

　　isakmp policy 1 group 1

　　isakmp policy 1 lifetime 1000

　　在接口上应用IKE策略（outside指外网口）

　　isakmp identity address

　　isakmp enable outside

　　这里记得还要补上一条：因为点对点的VPN之间的网络互相访问的时候是不做NAT出去的，所以要加上一条ACL阻止这两个网络之间访问是不能做NAT出去。

　　access-listnonat permit ip 10.0.X.0 255.255.240.0 192.168.X.0 255.255.255.0

　　nat （inside） 0 access-list nonat

　　路由器上的配置：

　　原理同PIX的配置是一样的，但是在命令以及应用上有些稍的差别：

　　先建立访问控制列表130，为下面的VPN加密调用：

　　access-list 130 permit ip 10.0.X.0 0.0.0.255 192.168.X.0 0.0.0.255

　　access-list 130 permit ip 192.168.X.0 0.0.0.255 10.0.X.0 0.0.0.255

　　在配置模式下：

　　crypto isakmp policy 1 创建IKE策略

　　hash md5 定义散列算法

　　authentication pre-share 定义预认证方法为预共享密鈅

　　crypto isakmp key ******** address 210.211.198.14 配置预共享密鈅

　　crypto ipsectransform-set sharks esp-3des esp-md5-hmac 配置IPSec变换集

　　crypto map testvpn 1 ipsec-isakmp 创建加密图

　　set peer 210.211.198.14 指定对等体

　　set transform-set sharks 指定变换集

　　match address 130 引用加密访问列表确定受保护的流量

　　在接下模式下，应用加密图：

　　interface FastEthernet0/0

　　crypto map testvpn

　　这里还需要注意一点是路由器内网段不做NAT出去：

　　ip nat pool internet120.56.147.112 120.56.147.112 netmask 255.255.255.252

　　ip nat inside source route-map nonat pool internet overload

　　route-map nonat permit 10

　　match ip address 130

　　接口上应用NAT：

　　ip nat outside 在外网口应用NAT

　　ip nat inside 在内网口应用NAT

　　当然这只是一部分的测试步骤，也是最基本的site to site VPN的配置方法，这次是跟美国的一个客户做这和PIX对路由器做VPN，而我们公司本来已经在两台PIX之间已经做好了site to site VPN，所以跟上面的配置还是有些区别的。

　　另外一点是，老外采用的VPN方式跟我们平常做的还不一样，他们喜欢用一个公网IP来代替内部一个网段来做这种site to site VPN，这无形中又产生了些微的差别。但总体的配置步骤以及方式方法都还是一样的。