在PIX防火墙上实现VPN的配置步骤

在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务: 
一、为IPSec做准备 
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过; 
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE…

在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务: 
一、为IPSec做准备 
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过; 
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略; 
步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式; 
步骤3:用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令来检查当前的配置; 
步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障; 
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。 
二、配置IKE 
配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置; 
步骤1:用”isakmp enable”命令来启用或关闭IKE; 
步骤2:用”isakmp policy”命令创建IKE策略; 
步骤3:用”isakmp key”命令和相关命令来配置预共享密钥; 
步骤4:用”show isakmp [policy]”命令来验证IKE的配置。 
三、配置IPSec 
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去; 
步骤1:用access-list命令来配置加密用访问控制列表; 
例如: 
access-list acl-name {permit deny} protocol src_addr src_mask 
[operator port [port]] dest_addr dest_mask [operator prot [port]]

步骤2:用crypto ipsec transform-set 命令配置变换集; 
例如:

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期; 
步骤4:用crypto map 命令来配置加密图; 
步骤5:用inte**ce 命令和crypto map map-name inte**ce应用到接口上; 
步骤6:用各种可用的show命令来验证IPSec的配置。 
四、测试和验证IPSec 
该任务涉及到使用”show ” 、”debug”和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。

本文最后更新于 2020-01-08 20:19

请博主喝杯咖啡呢,谢谢^_^

如果本文“对您或有帮助”,欢迎随意打赏,以资鼓励继续创作!

原创文章《在PIX防火墙上实现VPN的配置步骤》,作者:笔者 徐哲钻石会员,未经允许不得转载。
转载或复制时,请注明出处:https://www.xuxiaokun.com/12.html,本文由 Mr.xu 博客网 整理。
本站资源下载仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。

(0)
打赏 微信扫一扫赞赏 微信扫一扫赞赏 支付宝扫一扫赞赏 支付宝扫一扫赞赏
上一篇 2013年9月27日 11:52
下一篇 2013年9月27日 11:56

相关推荐

笔者期待与您共勉 · 互赢

有言必答、商务合作、有偿服务

QQ:点击这里给我发消息

邮件:it@xuxiaokun.com

线上沟通时间 ↓↓↓:

周一至周五 9:30 - 17:30

其余时间Mail或QQ我,有言必应。

244439232