DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1016|回复: 0
打印 上一主题 下一主题

[待整理] PIX防火墙上实现VPN配置步骤

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 14:57:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:  初始化准备
  为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
  步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
  步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
  步骤3:用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令来检查当前的配置;
  步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障;
  步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
  配置IKE
  配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
  步骤1:用”isakmp enable”命令来启用或关闭IKE;
  步骤2:用”isakmp policy”命令创建IKE策略;
  步骤3:用”isakmp key”命令和相关命令来配置预共享密钥;
  步骤4:用”show isakmp [policy]”命令来验证IKE的配置。
  配置IPSec
  IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
  步骤1:用access-list命令来配置加密用访问控制列表;
      access-list acl-name {permit|deny} protocol src_addr src_mask
              [operator port [port]] dest_addr dest_mask [operator prot [port]]

  步骤2:用crypto ipsec transform-set 命令配置变换集;
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

  步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
  步骤4:用crypto map 命令来配置加密图;
  步骤5:用interface 命令和crypto map map-name interface应用到接口上;
  步骤6:用各种可用的show命令来验证IPSec的配置。
  测试和验证IPSec
  该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 20:44 , 耗时 0.090099 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表