实验十一:远程访问VPN
一.实验目的
1. 掌握理解对象组Object-group. 2. 减少ACL的数量。
二.实验要点
1.掌握PIX防火墙高级配置命令。 2.使用对象组object-group。
三.实验设备
1. GNS3工具,路由器Cisco 3600二台 2. Cisco PIX804 一台,Real PC 二台
四、实验环境
需求
某公司采用PIX防火墙作为网关,该公司采用三项外围拓扑结构,其中DMZ为服务器区域,Inside为公司内部办公网络,Outside为外部网络;该公司移动办公用户需要远程访问公司内部的附件服务器和邮件服务器,但无法确定移动用户的当前IP地址,要求管理员建立远程访问VPN。
配置
1. 配置PIX防火墙
pixfirewall> en Password:
pixfirewall# write erase/清除防火墙上的配置 Erase configuration in flash memory? [confirm] [OK]/重启防火墙 pixfirewall> en Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX
PIX(config)#interface Ethernet0 //初始化物理接口 PIX(config)#nameif outside
INFO: Security level for \PIX(config)#security-level 0
PIX(config-if)#ip address 202.100.1.64 255.255.255.0 PIX(config)#exit
PIX(config)#interface Ethernet1 //初始化物理接口 PIX(config)#nameif inside
INFO: Security level for \PIX(config)#security-level 100
PIX(config)#ip address 192.168.1.1 255.255.255.0 PIX(config)#interface Ethernet2 //初始化物理接口 PIX(config)#nameif dmz
INFO: Security level for \PIX(config)#security-level 50
PIX(config)#ip address 172.16.1.1 255.255.255.0
PIX(config)#access-list vpnsplitlist extended permit ip 172.16.1.0 255.255.255.0 any //该ACL用来推送至客户端,形成客户端访问公司内部时的兴趣ACL PIX(config)#access-list outsidelist extended permit icmp any interface outside //该ACL用来PING测试
PIX(config)#access-list dmzlist extended permit ip 172.16.1.0 255.255.255.0 any //该ACL用来放行DMZ至其他区域的所有数据
PIX(config)#access-list notnat extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 //该ACL用来指定从INSIDE区域访问DMZ区域无须进行NAT/PAT处理,直接采用路由的方式
PIX(config)#ip local pool vpnpool 10.1.1.2-10.1.1.254 mask 255.255.255.0 //建立一个名字为vpnpool的IP地址分配池
PIX(config)#global (outside) 1 interface //对序号为1的NAT策略中的数据包进行outside端口的PAT
PIX(config)#nat (inside) 0 access-list notnat //将名字为notnat的ACL中指定的,且来自inside接口的数据包放入序号为0的NAT策略中,且不进行任何NAT/PAT处理
PIX(config)#nat (inside) 1 192.168.1.0 255.255.255.0 //将来自inside接口的,且源地址在192.168.1.0网段的数据包,放入序号为1的NAT策略中
PIX(config)#access-group outsidelist in interface outside //绑定outsidelist ACL到outside接口的IN方向上
PIX(config)#access-group dmzlist in interface dmz //绑定dmzlist ACL到dmz接
口的IN方向上
PIX(config)#route outside 0.0.0.0 0.0.0.0 202.100.1.1 1 //建立至ISP的默认路由 PIX(config)#group-policy remoteaccess internal //建立名字为remoteaccess的内部组策略
PIX(config)#group-policy remoteaccess attributes //设置remoteaccess组策略的属性
PIX(config-group-policy)#wins-server value 172.16.1.53 //配置分配给客户端的WINS地址
PIX(config-group-policy)#dns-server value 172.16.1.53 //配置分配给客户端的DNS地址
PIX(config-group-policy)#vpn-tunnel-protocol IPSec //配置客户端启动VPN时使用的隧道协议为IPSEC
PIX(config-group-policy)#password-storage enable //配置客户端进行用户名认证时可以保存用户名和密码
PIX(config-group-policy)#split-tunnel-policy tunnelspecified //配置客户端通过IPSEC访问公司内部时的数据的IPSEC VPN兴趣策略,此处为
tunnelspecified[特定隧道],即通过ACL来指定客户端至公司需要加密的数据流,而不是客户端至公司的所有数据流
PIX(config-group-policy)#split-tunnel-network-list value vpnsplitlist //将
vpnsplitlist ACL推送到客户端,客户端发送数据时,如果满足该ACL的数据将被IPSEC VPN,否则直接发送出去,不进行IPSEC VPN,此命令和上一条命令搭配使用
PIX(config-group-policy)#split-dns value benet.com //配置客户端解析时对benet.com的解析不发送至公网DNS,而是使用IPSEC VPN获取的DNS地址来解析
PIX(config)#username zhongta password Qo1dQf/HbvQeH9gV encrypted //建立本地用户和密码用于ipsec vpn的用户认证
PIX(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac //建立vpnset传输模式集
PIX(config)#crypto dynamic-map template-map 10 set transform-set vpnset //建立一个名字为template-map的优先级为10的动态加密图,并绑定vpnset传输模式集
PIX(config)#crypto map vpnmap 10 ipsec-isakmp dynamic template-map //建立优先级为10的名字为vpnmap的加密图,并告诉PIX,该加密图中的绑定信息来自动态加密图template-map
PIX(config)#crypto map vpnmap interface outside //绑定vpnmap加密图至outside接口上
PIX(config)#crypto isakmp enable outside //开启isakmp策略
PIX(config)#crypto isakmp policy 10 //建立编号为10的isakmp策略
PIX(config-isakmp-policy)#authentication pre-share //设置isakmp协商阶段时隧道认证采用预共享密钥
PIX(config-isakmp-policy)#encryption 3des //设置isakmp协商阶段对数据加密使用3DES
PIX(config-isakmp-policy)#hash md5 //设置isakmp协商阶段对数据完整性使
用md5
PIX(config-isakmp-policy)#group 2 //设置isakmp协商阶段DH密钥交换使用DH GROUP 2模式
PIX(config-isakmp-policy)# lifetime 86400
PIX(config)#crypto isakmp policy 65535 //PIX自行建立的默认策略 PIX(config-isakmp-policy)#authentication pre-share PIX(config-isakmp-policy)#encryption 3des PIX(config-isakmp-policy)#hash sha PIX(config-isakmp-policy)#group 2
PIX(config-isakmp-policy)#lifetime 86400
PIX(config)#tunnel-group guangzhou type ipsec-ra //建立名字为guangzhou的类型为ipsec-ra的隧道组,该隧道组名字会和密钥一起用于进行隧道认证
PIX(config)#tunnel-group guangzhou general-attributes //配置guangzhou隧道组的通用属性
PIX(config-tunnel-general)#address-pool vpnpool //配置分配给客户端的地址来源于vpnpool地址池
PIX(config-tunnel-general)#default-group-policy remoteaccess //将remoteaccess组策略绑定到guangzhou隧道组
PIX(config-tunnel-general)#tunnel-group guangzhou ipsec-attributes //配置guangzhou隧道组的ipsec属性
PIX(config-tunnel-general)#pre-shared-key * //配置guangzhou隧道组的预共享密钥,该密钥和隧道组的组名一起用来进行隧道认证
2. 在移动办公用户上安装100
实验十二:PPPoE
一.实验目的
1. 掌握理解防火墙与路由器之间的PPPoE协议。 2. 建立PPPoE连接。
二.实验要点
1.掌握PIX防火墙高级配置命令。 2.掌握理解PPPoE连接原理。
三.实验设备
1. GNS3工具,路由器Cisco 7200二台 2. Cisco PIX804 一台,Real PC 二台
四、实验环境
需求
ISP使用路由器提供PPPOE拨号,企业用户使用路由器和防火墙作为PPPOE的客户端,要求企业内部能够通过PPPOE拨号成功后联入Internet。
配置
PPPOE SERVER:
Router>en Router#conf t