PIX上实现VPN(IPSec)的详细步骤
编辑:rootadmin
在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务: 一、为IPSec做准备——为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过; 步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略; 步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP*及IPSec变换集和模式; 步骤3:用”writeterminal”、”showisakmp”、”showisakmppolicy”、”showcryptomap“命令及其他”show”命令来检查当前的配置; 步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障; 步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。 二、配置IKE——配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置; 步骤1:用”isakmpenable”命令来启用或关闭IKE; 步骤2:用”isakmppolicy”命令创建IKE策略; 步骤3:用”isakmpkey”命令和相关命令来配置预共享密钥; 步骤4:用”showisakmp[policy]”命令来验证IKE的配置。 三、配置IPSec——IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去; 步骤1:用access-list命令来配置加密用访问控制列表; 例如: access-listacl-name{permit|deny}protocolsrc_addrsrc_mask[operatorport[port]]dest_addrdest_mask[operatorprot[port]] 步骤2:用cryptoipsectransform-set命令配置变换集; 例如: cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]] 步骤3:(任选)用cryptoipsecsecurity-associationlifetime命令来配置全局性的IPSec安全关联的生存期; 步骤4:用cryptomap命令来配置加密图; 步骤5:用interface命令和cryptomapmap-nameinterface应用到接口上; 步骤6:用各种可用的show命令来验证IPSec的配置。 四、测试和验证IPSec——该任务涉及到使用"show"、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。 样例: PIX1的配置: !configuretheIPaddressforeachPIXFirewallinterface ipaddressoutside..1....0 ipaddressinside.1.1....0 ipaddressdmz......0 global(outside)..1.-..1.netmask...0 !createsaglobalpoollontheoutsideinterface,enablesNAT. !windowsNTserver static(inside,outside)..1..1.1.4netmask...0 !Cryptoaccesslistspecifile*etweentheglobalandtheinside !serverbeindPIXFirewallsisencrypted,Thesource !anddestinationIPaddressaretheglobalIPaddressesofthestatics. Access-listpermitiphost..1.host..2. !TheconduitpermitICMPandwebaccessfortesting. Conduitpermiticmpanyany Conduitpermittcphost..1.eqwwwany routeoutside0.0.0..0.0...1. !EnableIPSectobypassaccesslitst,access,andconfuitrestrictions syspotconnnectionpermitipsec !Definesacryptomaptransformsettouseresp-des cryptoipsectransform-setpix2esp-des cryptomappeeripsec-isakmp!