网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

利用PIX与路由器做点对点VPN推荐

【网络安全】 2018-01-26本文已影响
未经同意,严禁转载,否则作侵权论!?通过这次配置PIX与路由器做点对点VPN的测试,学到了一些东西,但也受到了很多教训,总体来说,收获比较大.总结下几点:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />?存在的问题:),思想上重视程度不够,想当然的以为VPN配置不是很复杂,以为看过几遍文档就能把VPN配置出来,VPN的概念以及原理没有深究,对公司以前配置过的VPN没有细细的分析,配置的步骤不清不楚,只会照葫芦画瓢,没有从根本上掌握VPN技术.),对技术的研究热情不够,第一次接触做点对点VPN,但是没有认真的研究学习VPN的的原理,导致在测试的过程中不能正确分析问题存在的原因,排错的能力几乎为零.),准备工作不充分,虽然在网上查找到一些有用的资料,但是仅局限于资料本身的可用性,没有深层次从中考虑到配置VPN的一些原理,用法以及配置的具体步骤和方法.没有利用网上的资料给出测试的方案,画出测试的网络拓扑结构,在测试的过程中十分被动,仅靠网上的几篇文档资料,配置的时候无从下手.),在测试过程中没有很好的利用现有资源,在遇到困难和问题时候没有很好的给出解决办法,比较过分依赖于同事或者朋友,依靠互联网寻找解决问题、独立思考的能力比较欠缺.?一些经验:在配置点对点的VPN的过程中,大概理解了VPN配置的原理,包括加密方式,算法以及验证的模式等.),初步理解了点对点VPN的一些原理,所谓点对点VPN,是两边同时配置成VPN网关,这样就可以使两个VPN网关设备后面的私网地址互相通信,并不需要转换成公网IP地址再进行访问,一是节省了IP地址,另一方面由于VPN的加密特性也确保了数据的安全性.),点对点,意味着两边的配置应该完全一样(当然,除非一些自定义的词语以外),这次我做测试的设备一台是思科PIX 515E防火墙,另一个设备是思科2611XM路由器,并且在PIX的设备上已经配置了一个点对点VPN.这就意味着有个参考的对象.),在前期的准备工作中,应该使用一些常见的测试方法,比如 ping 命令:在做VPN的同时开启ping外网地址,这样可防止错误操作而导致正常使用的网络中断.还有如tracert命令等.),在配置过程中,如何清晰的把握配置的原理及步骤是光键,网络的配置往往在一些小的细节方面非常重要,稍不注意全盘不通.VPN的配置概念中,双方的加密方式,算法以及验证的方式都必须一样,lifetime也必须一样.这里就需要注意一些设备的默认值,比如说思科路由器默认的加密方式是DES,而大多数的设备配置的加密方式都是3DES,如果没注意则配置肯定不成功.?虽然事情业已告一段落,但这件事让我受益颇多.?一些测试的步骤:点击在新窗口查看全图PIX配置:?通常我们先配置访问控制列表,这里的ACL是应用在点对点VPN里面的,做两个设备后面发现的网段之间的访问控制.做为测试,开启的权限是比较大的,在生产环境中应该根据需求开启相应的端口.?写一条访问控制列表:access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0?在访问控制列表之后就是配置加密图(在配置模式下进入):crypto ipsec transform-set testvpn esp-3des esp-md5-hmac配置IPSec变换集.先要定义双方交换的加密方式及算法,这里的testvpn只是一个定义的名称而已,可以自已定义,后面会调用它,3des是被定义的加密方式,md5-hmac是被定义的hash算法.?再定义动态加密图crypto dynamic-map dynmap 10 set transform-set backup把动态加密图集加入到正规图集中crypto map idcvpn 10 ipsec-isakmp dynamic dynmap?这几条命令是加密图的必要参数,也就是调用前面的定义的加密方式testvpn,并且应用前面所写的ACL203,定义对端VPN网关地址120.56.147.112(都是在加密图模式下操作)crypto map idcvpn 1 ipsec-isakmp?????????????? 创建加密图crypto map idcvpn 1 match address 203????????? 引用加密访问列表确定受保护的流量crypto map idcvpn 1 set peer 120.56.147.112?? ??指定对等体crypto map idcvpn 1 set transform-set testvpn ???指定使用的变换集?crypto map idcvpn interface outside在接口上指定要使用的加密图(outside指外网口)?isakmp key ******** address 120.56.147.112 netmask 255.255.255.255指定与对方交换的KEY?创建IKE策略:定义认证方法为预共享密鈅isakmp policy 1 authentication pre-share定义认证方法为预加密方式,以及算法,,生命周期(默认是86400)isakmp policy 1 encryption 3desisakmp policy 1 hash md5isakmp policy 1 group 1isakmp policy 1 lifetime 1000?在接口上应用IKE策略(outside指外网口)isakmp identity addressisakmp enable outside?这里记得还要补上一条:因为点对点的VPN之间的网络互相访问的时候是不做NAT出去的,所以要加上一条ACL阻止这两个网络之间访问是不能做NAT出去.access-list nonat permit ip 10.0.X.0 255.255.240.0 192.168.X.0 255.255.255.0nat (inside) 0 access-list nonat?路由器上的配置:?原理同PIX的配置是一样的,但是在命令以及应用上有些稍的差别:?先建立访问控制列表130,为下面的VPN加密调用:access-list 130 permit ip 10.0.X.0 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.255 192.168.X.0 0.0.0.255access-list 130 permit ip 192.168.X.0 0.0.0.255 10.0.X.0 0.0.0.255?在配置模式下:crypto isakmp policy 1????????????????????????????????? 创建IKE策略?hash md5??????????????????????????????????????????? 定义散列算法?authentication pre-share?????????????????????????????? 定义预认证方法为预共享密鈅crypto isakmp key ******** address 210.211.198.14???? ????配置预共享密鈅?crypto ipsec transform-set sharks esp-3des esp-md5-hmac ?配置IPSec变换集?crypto map testvpn 1 ipsec-isakmp???????????????? 创建加密图?set peer 210.211.198.14???????????????????????? 指定对等体?set transform-set sharks??????????????????? ?????指定变换集?match address 130???????????????????????? ?????引用加密访问列表确定受保护的流量?在接下模式下,应用加密图:interface FastEthernet0/0crypto map testvpn?这里还需要注意一点是路由器内网段不做NAT出去:ip nat pool internet 120.56.147.112 120.56.147.112 netmask 255.255.255.252ip nat inside source route-map nonat pool internet overload?route-map nonat permit 10?match ip address 130?接口上应用NAT:ip nat outside?? 在外网口应用NATip nat inside??? 在内网口应用NAT????? 当然这只是一部分的测试步骤,也是最基本的site to site VPN的配置方法,这次是跟美国的一个客户做这和PIX对路由器做VPN,而我们公司本来已经在两台PIX之间已经做好了site to site VPN,所以跟上面的配置还是有些区别的.????另外一点是,老外采用的VPN方式跟我们平常做的还不一样,他们喜欢用一个公网IP来代替内部一个网段来做这种site to site VPN,这无形中又产生了些微的差别.但总体的配置步骤以及方式方法都还是一样的.版权声明:原创作品,如需转载,请注明出处。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部