配置实例：最简单的VPN登入PIX (简述配置)

做一个最简单的PIX和VPNclient连接，不需要验证服务器。　　　　环境如下：　　VPNclient---PIX---　　.........1　　VPN分配IP为...-...　　　　PIXVersion6.3(3)　　interfaceethernet0auto　　interfaceethernetfull　　nameifethernet0outsidesecurity0　　nameifethernet1insidesecurity　　enablepasswordAmL.8shQrncOlXencrypted　　passwd2KFQnbNIdI.2KYOUencrypted　　hostnamepixfirewall　　fixupprotocoldn*aximum-length　　fixupprotocolftp　　fixupprotocolhh　　fixupprotocolhras-　　fixupprotocolhttp　　fixupprotocolrsh　　fixupprotocolrtsp　　fixupprotocolsip　　fixupprotocolsipudp　　fixupprotocolskinny　　fixupprotocol*tp　　fixupprotocolsqlnet　　fixupprotocoltftp　　names　　　　access-listno-natpermitip............0　　!定义不进行NAT的传输，　　pagerlines　　interfaceethernet0auto　　interfaceethernet1auto　　mtuoutside　　mtuinside　　ipaddressoutside.....0　　！定义PIX的outside口IP　　ipaddressinside......0　　！定义PIX的inside口IP　　ipaudit*actionalarm　　ipauditattackactionalarm　　iplocalpooldialer...-...　　!定义分配给VPNclient的IP*池　　nofailover　　failovertimeout0::　　failoverpoll　　failoveripaddressoutside0.0.0.0　　failoveripaddressinside0.0.0.0　　pdmlogging*rmational　　pdmhistoryenable　　arptimeout　　global(outside)1interface　　nat(inside)0access-listno-nat　　！定义不需要进行NAT传输的流量　　nat(inside).0.0..0.0.　　routeoutside0.0.0..0.0....　　timeoutxlate3::　　timeoutconn1::half-closed0::udp0::rpc0::h::si　　p0::sip_media0::　　timeoutuauth0::absolute　　aaa-serverTACACS+protocoltacacs+　　aaa-serverRADIUSprotocolradius　　aaa-serverLOCALprotocollocal　　!服务器使用的协议　　httpserverenable　　http.1.1....inside　　nosnmp-serverlocation　　nosnmp-servercontact　　snmp-servercommunitypublic　　nosnmp-serverenabletraps　　floodguardenable　　sysoptconnectionpermit-ipsec　　!对于所有IPSec流量不检测允许其通过，如果不加这个命令的话，需要加上ACL到outside口以允许特定的IPSce流量通过，但会控制更加灵活。　　nosysoptroutednat　　cryptoipsectransform-setaaadesesp-desesp-md5-hmac　　！定义一个变换集aaades　　cryptodynamic-mapdynomapsettransform-setaaades　　！把变换集aaades添加到动态加密策略dynomap　　cryptomapvpnpeeripsec-isakmpdynamicdynomap　　！把动态加密策略绑定到vpnpeer加密图　　cryptomapvpnpeerclientauthenticationLOCAL　　!定义不需要验证服务器，使用的是PIX自己的用户验证。　　cryptomapvpnpeerclientconfigurationaddressinitiate　　!定义给每个客户端分配IP*　　cryptomapvpnpeerclientconfigurationaddressrespond　　!定义PIX防火墙接受来自任何IP的请求　　cryptomapvpnpeerinterfaceoutside　　!把动态加密图vpnpeer绑定到outside口　　isakmpenableoutside　　!在outside口启用isakmp　　isakmpkeyaddress0.0.0.0netmask0.0.0.0　　!定义共享密匙，并接受任何*的请求。　　isakmpclientconfigurationaddress-poollocaldialeroutside　　！将VPNclient*池绑定到isakmp　　isakmppolicyauthenticationpre-share　　!定义phase1使用pre-sharedkey进行认证　　isakmppolicyencryptiondes　　！定义phase1协商用DES加密算法　　isakmppolicyhashmd5　　！定义phase1协商用MD5散列算法　　isakmppolicygroup2　　!定义phase1进行IKE协商使用DHgroup2　　isakmppolicylifetime　　！定义IKESA生存时间　　vpngroupstudent0address-pooldialer　　！定义VPNclient拨入使用的vpngroup所分配的IP*池　　vpngroupstudent0idle-time　　！定义vpngroup的空闲时间　　vpngroupstudent0password　　！定义vpngroup的pre-sharedkey　　telnet......0inside　　telnettimeout5　　ssh......inside　　sshtimeout　　terminalwidth　　usernamevpnuserpasswordvpnuser　　！在PIX上创建一个用户，用户名密码都为vpnuser　　Cryptochecksum:bfaadca3a0acb　　pixfirewall#　　　　VPNclient版本为4.0.5，先在ConnectionEntries里创建一个连接，在最上面填入。　　　　ConnectionEntry:vpnpeer1　　Description:test　　Host:...　　　　在Authentication里的GROUPAuthentication里填入。　　Name:student0#就是vpngroupname　　Password:#就是vpngrouppassword　　ConfirmPassword:　　　　name和password要和PIX中的vpngroup和key一致。　　　　在vpnclient进行连接的时候会有一个窗口弹出，要输入用户名和密码，输入vpnuser就可以了。