利用PIX来搭建×××
生活随笔
收集整理的這篇文章主要介紹了
利用PIX来搭建×××
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> ??????????????????? PIX 防火墻與路由器之間的×××<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
PIX(config)# nat (inside) 1 0 0(允許任何進來)
PIX(config)# global (outside) 1 interface(訪問internet的數據流使用PAT出去。)
PIX(config)# crypto isakmp enable outside (在外部接口上啟用ISAKMP)
PIX(config)# crypto isakmp policy 1 authentication pre-share(認證方法使用預共享密鑰)
PIX(config)# crypto isakmp policy 1 encryption des (加密方法使用des)
PIX(config)# crypto isakmp policy 1 hash md5 (散列算法使用md5)
PIX(config)# crypto isakmp policy 1 group 2(DH模長度為1024)
PIX(config)# crypto isakmp identity address (將ISAKMP預共享密鑰和對等體關聯)
PIX(config)# crypto isakmp key cisco1234 address 20.1.1.2(預共享密鑰為“cisco1234”)
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac(設置ipsec轉換集)
PIX(config)# crypto map cisco 1 ipsec-isakmp(設置加密圖。)
PIX(config)# crypto map cisco 1 match address secure(加載感興趣流)
PIX(config)# crypto map cisco 1 set transform-set ccsp(選擇轉換集)
PIX(config)# crypto map cisco 1 set peer 20.1.1.2 (設置對等體地址)
PIX(config)# crypto map cisco 1 set pfs group2(設置完美前向保密,DH模長度為1024)
PIX(config)# crypto map cisco interface outside(在外部接口上應用加密圖。)
PIX(config)# sysopt connection permit-ipsec(指定IPsec的流量是可信任的)
r1(config)#int f0/1
r1(config-if)#ip nat inside(定義進來的流量)
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip nat outside(定義出去的流量)
r1(config-if)#exit
r1(config)#access-l 100 deny ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
r1(config)#access-l 100 permit ip 192.168.10.0 0.0.0.255 any(定義需要被NAT的數據流)
r1(config)#ip nat inside source list 100 interface s0 overload(做動態PAT地址轉換)
r1(config)#access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 (定義加密傳輸的數據流)
r1(config)#crypto isakmp enable(啟用ISAKMP策略)
r1(config)#crypto isakmp policy 1(定義優先級)
r1(config-isakmp)#authentication pre-share (認證方法使用預共享密鑰)
r1(config-isakmp)#encryption des(加密方法使用des)
r1(config-isakmp)#hash md5(散列算法使用md5)
r1(config-isakmp)#group 2(DH模長度為1024)
r1(config)#crypto isakmp identity address
r1(config)#crypto isakmp key cisco1234 address 10.1.1.1(將ISAKMP預共享密鑰和對等體關聯,預共享密鑰為“cisco1234”,這里一定要注意跟對端的密鑰一樣)
r1(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac
r1(cfg-crypto-trans)#mode tunnel? (設置ipsec轉換集):
r1(config)#crypto map cisco 1 ipsec-isakmp (設置加密圖的名稱)
r1(config-crypto-map)#match address 120(加載感興趣流,這里是第二個加密的ACL)
r1(config-crypto-map)#set peer 10.1.1.1(設置對等體地址)
r1(config-crypto-map)#set transform-set ccie (選擇轉換集)
r1(config-crypto-map)#set pfs group2(設置完美前向保密,DH模長度為1024)
r1(config)#int f0/0
r1(config-if)#crypto map cisco(在外部接口上應用加密圖)
在Iternet路由器上把兩條靜態路由刪除,看通信效果如何?×××是否能通!
拓撲圖
?
PIXE0/0:<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.1??? E0/1:192.168.1.1?? SMTP:10.1.1.10
R1
F0/0:20.1.1.2???? F0/1:192.168.10.1??
Iternet
F0/0:10.1.1.2???? F0/1:20.1.1.1?? E1/1:221.5.88.1?
DNS服務器:221.5.88.88
Exchange1?? Exchange2
Server1:192.168.1.100???? server2:192.168.10.100
1.???? 配置各接口的IP地址,使相鄰設備能ping的通.
PIX(config)# nameif ethernet0 outside security0(定義接口的名稱和安全級別)
Pix(config)#nameif ethernet1 inside security100
PIX(config)# config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型)
Pix(config)#interface ethernet1 100ful(表示100Mbit/s的以太網全雙功通信)
Pix525(config)#ip address outside 10.1.1.1 255.255.255.0
Pix525(config)#ip address inside 192.168.1.1 255.255.255.0(配置內外網卡的IP地址)
PIX(config)#show interface (查看接口的狀態)
各路由器接口配置就不詳細說明
2.???? 在Iternet路由器上做兩條靜態路由,使221.5.88.88的流量能返回server服務器中
?
Iternet(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1Iternet(config)#ip route 192.168.10.0 255.255.255.0 20.1.1.2
?
3.???? 在PIX和分部路由器上做×××和相對的一條默認路由,使兩邊能夠上網,通過×××能相互通信.PIX的配置
PIX(config)# access-list secure permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0 (定義感興趣數據流)
PIX(config)# nat (inside) 0 access-list secure(不允許NAT出去)
PIX(config)# nat (inside) 1 0 0(允許任何進來)
PIX(config)# global (outside) 1 interface(訪問internet的數據流使用PAT出去。)
PIX(config)# crypto isakmp enable outside (在外部接口上啟用ISAKMP)
PIX(config)# crypto isakmp policy 1 authentication pre-share(認證方法使用預共享密鑰)
PIX(config)# crypto isakmp policy 1 encryption des (加密方法使用des)
PIX(config)# crypto isakmp policy 1 hash md5 (散列算法使用md5)
PIX(config)# crypto isakmp policy 1 group 2(DH模長度為1024)
PIX(config)# crypto isakmp identity address (將ISAKMP預共享密鑰和對等體關聯)
PIX(config)# crypto isakmp key cisco1234 address 20.1.1.2(預共享密鑰為“cisco1234”)
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac(設置ipsec轉換集)
PIX(config)# crypto map cisco 1 ipsec-isakmp(設置加密圖。)
PIX(config)# crypto map cisco 1 match address secure(加載感興趣流)
PIX(config)# crypto map cisco 1 set transform-set ccsp(選擇轉換集)
PIX(config)# crypto map cisco 1 set peer 20.1.1.2 (設置對等體地址)
PIX(config)# crypto map cisco 1 set pfs group2(設置完美前向保密,DH模長度為1024)
PIX(config)# crypto map cisco interface outside(在外部接口上應用加密圖。)
PIX(config)# sysopt connection permit-ipsec(指定IPsec的流量是可信任的)
PIX(config)#route outside 0.0.0.0 0.0.0.0 10.1.1.2 (做一條默認路由)
?
?
?
?
分部路由器上×××和NAT的相關配置r1(config)#int f0/1
r1(config-if)#ip nat inside(定義進來的流量)
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip nat outside(定義出去的流量)
r1(config-if)#exit
r1(config)#access-l 100 deny ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
r1(config)#access-l 100 permit ip 192.168.10.0 0.0.0.255 any(定義需要被NAT的數據流)
r1(config)#ip nat inside source list 100 interface s0 overload(做動態PAT地址轉換)
r1(config)#access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 (定義加密傳輸的數據流)
r1(config)#crypto isakmp enable(啟用ISAKMP策略)
r1(config)#crypto isakmp policy 1(定義優先級)
r1(config-isakmp)#authentication pre-share (認證方法使用預共享密鑰)
r1(config-isakmp)#encryption des(加密方法使用des)
r1(config-isakmp)#hash md5(散列算法使用md5)
r1(config-isakmp)#group 2(DH模長度為1024)
r1(config)#crypto isakmp identity address
r1(config)#crypto isakmp key cisco1234 address 10.1.1.1(將ISAKMP預共享密鑰和對等體關聯,預共享密鑰為“cisco1234”,這里一定要注意跟對端的密鑰一樣)
r1(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac
r1(cfg-crypto-trans)#mode tunnel? (設置ipsec轉換集):
r1(config)#crypto map cisco 1 ipsec-isakmp (設置加密圖的名稱)
r1(config-crypto-map)#match address 120(加載感興趣流,這里是第二個加密的ACL)
r1(config-crypto-map)#set peer 10.1.1.1(設置對等體地址)
r1(config-crypto-map)#set transform-set ccie (選擇轉換集)
r1(config-crypto-map)#set pfs group2(設置完美前向保密,DH模長度為1024)
r1(config)#int f0/0
r1(config-if)#crypto map cisco(在外部接口上應用加密圖)
R1(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1 (做一條默認路由出去)
完成后測試,總部能ping通分部,反過來也一樣
再用show crypto isakmp sa 和show crypto ipsec sa 查看配置
在Iternet路由器上把兩條靜態路由刪除,看通信效果如何?×××是否能通!
4.分別在總部和分部搭建好Exchange服務器,在做SMTP連接器看能不能相互發郵件.
?
轉載于:https://blog.51cto.com/haocisco/247644
總結
以上是生活随笔為你收集整理的利用PIX来搭建×××的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第一章 Joomla!扩展开发:概况
- 下一篇: 网页如何调用flash的方法