PIX与VPN client的pre-shared key互连

作者: 出处:Cisco.com　 ( ) 砖 ( ) 好评论 ( ) 条　进入论坛

更新时间：2006-07-04 13:45
关键词：Cisco配置实例
阅读提示：

PIX与VPN client的pre-shared key互连
vpn client是cisco的一款vpn客户端软件，专门用来与cisco的产品(PIX，router，VPN 3000集中器）作vpn连接使用，近日做了一下PIX和VPN client互连的实验，先把pre-shared key的配置写一下
实验环境如下：
VPN client--------------------------------PIX---------------------------AAA ACS server
192.168.0.243 192.168.0.254 10.1.1.244 10.1.1.88
VPN分配IP为10.1.1.246


pixfirewall# sh config 
: Saved 
: 
PIX Version 6.0(1) 
nameif ethernet0 outside security0 
nameif ethernet1 inside security100 
enable password EZt/JroCts.3MWq4 encrypted 
passwd EZt/JroCts.3MWq4 encrypted 
hostname pixfirewall 
domain-name test.com 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 1720 
fixup protocol rsh 514 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
fixup protocol ftp 2121 
names 
access-list test permit icmp host 192.168.0.243 host 192.168.0.254 echo-reply 
access-list 80 permit ip 10.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0

!定义不进行NAT的流量，这些流量会用IPSce来封装，当PIX的内部IP和分配给VPN client的IP在同一网段的时候，一样要加ACL，源和目的网段一样的ACL，这个要注意。当时我在这里按照student guide的例子来配置ACL，允许PIX的outside口IP到分配给VPN client的IP地址段，但怎么也没有配置成功，VPN client不能访问PIX的内网服务器，但PIX的内网服务器却可以访问VPN client。后来修改ACL后就成功了。

pager lines 24 
interface ethernet0 auto 
interface ethernet1 auto 
mtu outside 1500 
mtu inside 1500 
ip address outside 192.168.0.254 255.255.255.0 
！定义PIX的outside口IP 
ip address inside 10.1.1.244 255.255.255.0 
！定义PIX的inside口IP 
ip audit info action alarm 
ip audit attack action alarm 
ip local pool dialer 10.1.1.246-10.1.1.247 
!定义分配给VPN client的IP地址池 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
pdm location 10.1.1.88 255.255.255.255 inside 
pdm history enable 
arp timeout 14400 
global (outside) 1 interface 
nat (inside) 0 access-list 80 
！定义不进行NAT的流量 
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
access-group test in interface outside 
route outside 0.0.0.0 0.0.0.0 192.168.0.243 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si 
p 0:30:00 sip_media 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server myserver protocol tacacs+ 
!定义AAA服务器使用的协议 
aaa-server myserver (inside) host 10.1.1.88 1234 timeout 5 
!定义AAA服务器的IP地址（装了ACS的服务器） 
http server enable 
http 10.1.1.88 255.255.255.255 inside 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
sysopt connection permit-ipsec 
!对于所有IPSec流量不检测允许其通过，如果不加这个命令的话，
需要加上ACL到outside口以允许特定的IPSce流量通过，但会控制更加灵活。 
no sysopt route dnat 
crypto ipsec transform-set aaades esp-des esp-md5-hmac 
！定义phase 2的加密和散列算法作为一个transform-set 
crypto dynamic-map dynomap 10 set transform-set aaades 
！把transform-set绑定到dynamic-map 
crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap 
！把dynamic-map绑定到vpnpeer 
crypto map vpnpeer client authentication myserver 
!定义进行xauth使用的AAA服务器 
crypto map vpnpeer interface outside 
！把crypto map绑定到outside口 
isakmp enable outside 
！在outside口绑定isakmp 
isakmp client configuration address-pool local dialer outside 
！配置分配给VPN client的地址池 
isakmp policy 10 authentication pre-share 
!定义phase 1使用pre-shared key进行认证 
isakmp policy 10 encryption des 
！定义phase 1协商用DES加密算法 
isakmp policy 10 hash md5 
！定义phase 1协商用MD5散列算法 
isakmp policy 10 group 2 
!定义phase 1进行IKE协商使用DH group 2 
isakmp policy 10 lifetime 86400 
！定义IKE SA生存期 
vpngroup student0 address-pool dialer 
！定义VPN client拨入使用的vpngroup所分配的IP地址池 
vpngroup student0 idle-time 1800 
！定义vpngroup的空闲时间 
vpngroup student0 password 1234 
！定义vpngroup的pre-shared key 
telnet 10.1.1.88 255.255.255.255 inside 
telnet timeout 5 
ssh 10.1.1.88 255.255.255.255 inside 
ssh timeout 20 
terminal width 80 
Cryptochecksum:693b87faa42d062c2848346a3a0acb43 
pixfirewall#

VPN client版本为4.0.3，先创建一个连接，使用pre-shared key，group name和password要和PIX中的vpngroup和key一致。

按此在新窗口浏览图片

在vpn client进行IKE协商后会有一个窗口弹出，要输入用户名和密码，这是因为cisco的VPN使用了xauth，要再验证一次ACS服务器中设置的帐号，输入即可。不过,如果在PIX中没有加这一句

crypto map vpnpeer client authentication myserver

就不会有这个窗口弹出来了.

按此在新窗口浏览图片

（责任编辑：城尘 68476636-8003）

滚动新闻　术语词典　问题悬赏

发表

共条查看

评价

叫个好

拍一砖

我也说两句

中国领先的 IT 技术网站 ·
技术成就梦想

·教你使用Anti ARP Sniffer查找ARP..
·网络嗅探教程：使用Sniffer Pro监..

· 教你使用Anti ARP Snif..
· 网络嗅探教程：使用Sni..
· 时代亿信企业级信息安..
· ISA Server、虚拟机、..
· Windows年底再现图片漏..
· MBSA本地审核策略建议

· 企业局域网安全访问控..
· 常见病毒手工清除方法..
· 网络技术经典基础教程
· CISCO配置实例学习
· 如何破解加密的压缩文件
· 东方标准－病毒防护技..

排行榜

·ARP攻击防范与解决方案 (查看73331次)
·ARP病毒攻击技术分析与防御 (查看30317次)
·远程控制软件VNC教程和对内网机.. (查看27782次)
·江民“熊猫烧香”专杀工具 (查看27405次)
·ARP病毒解决办法 (查看23334次)

·ARP攻击防范与解决方案 (529个砖)
·51CTO安全专访：信息安全的基石—安全操作系统 (443个砖)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (431个砖)
·病毒查杀专题 (168个砖)
·51CTO专访：优秀杀毒产品应该具备的特征 (163个砖)

·清除流氓软件——51CTO特别专题 (701个好)
·ARP攻击防范与解决方案 (498个好)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (483个好)
·51CTO安全专访：信息安全的基石—安全操作系统 (460个好)
·深入了解PGP加密技术 (182个好)

·网络技术经典基础教程 (09月)
·CISSP认证成长之路 (09月)
·国内安全厂商新排名出炉谁是你心中的第一 (08月)
·垃圾邮件新对策：远程定制托管服务 (08月)
·冷眼旁观2007年半年安全报告 (07月)

·国庆充电之IT培训认证
·51CTO主编推荐经典专题

· 51CTO“十·一”特别专..
· 对应需求如何选择最合..
· SPEC：AMD四核浮点性能..
· FB-DIMM、RDDR3谁是服..
· Avaya股东批准私募基金..
· 未来游戏设计将要面临..
· 微软发布全新FTP7.0
· 网络嗅探教程：用Sniff..

· 能够改变IT格局的五大..
· 微软统一沟通系列视频..
· 专家教你理解ARP欺骗攻..
· 微软屈从用户PC厂商压..
· 企业如何对付DDoS攻击 ..
· 思科称三年后网真系统..
· 北京歌华出现网络故障 ..
· 苹果与黑客大斗法破解..

订阅技术快讯

电子杂志下载

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

名称：Vista精品应用黄皮书
简介：《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版，是将里面的内容做了提取，便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册，并且也是第一本

名称：2006中国IT论坛精品集合
简介：本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛（网站）。制作本书的目的是为了集中大家的优势资源，将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。

专题

· 我是黑客我怕谁——讲..
· ARP攻击防范与解决方案
· Solaris 10 配置管理
· Solaris基础知识入门
· RIP路由协议专栏
· MPLS路由协议专栏
· OSPF路由协议专栏
· 思科路由器产品

Java编程开发手册

Java基础教程

· Java基础教程
· VPN技术
· ARP攻击防范与解决方案
· SQL Server 2005全解
· SOA 面向服务架构
· SQL Server 2005全解
· Java编程开发手册
· RAID——磁盘阵列基础

· 三层交换技术专题
· SQL Server入门到精通
· Windows Server 2003企..
· Windows远程桌面应用
· C#技术开发指南
· VPN技术
· Solaris 10 配置管理
· C#技术开发指南

Java编程开发手册

Java基础教程

· ARP攻击防范与解决方案
· VPN技术
· SQL Server 2005全解
· Java基础教程
· SQL Server入门到精通
· SQL Server 2005全解
· SOA 面向服务架构
· Java编程开发手册

· C#技术开发指南
· 三层交换技术专题
· C#技术开发指南
· Windows远程桌面应用
· RAID——磁盘阵列基础
· Windows Server 2003企..
· 邮件服务器专题
· wimax技术与趋势

专家

博客

导读

关键字阅读

频道精选

组网建网	安全频道
· NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入	· 教你使用Anti ARP Sniff.. · 网络嗅探教程：使用Snif.. · 常见病毒手工清除方法大..
编程频道	前沿技术
· C++是垃圾语言？！ · 2007年IT界七大抄袭事件 · Java实用开发全集	· 解析Ajax开发框架走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax..
操作系统	服务器
· 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门	· 费力不讨好数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题
数据库	存储频道
· 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教..	· 存储2006，一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术

DB2 9技术资源中.. 推荐阅读
·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与..	·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML：如何..
51CTO.com编辑部.. 推荐阅读
·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看..	· ·

张振伦的博客
·拯救系统管理员 ·美国选民：我为什么选布什	·VMware公司中文命名挑战赛 ·我们真缺乏创新吗?
梁林的博客
·J0ker的CISSP之路：复习-.. ·J0ker的CISSP之路:复习-I..	·9月第3周安全回顾内网安.. ·教你几招识别和防御Web网..