收藏
下载资源

Cisco+Pix515E防火墙配置详解

上传人:woxinch****an2018 文档编号:38982652 上传时间:2018-05-10 格式:DOC 页数:11 大小:94.86KB
返回 下载 相关 举报
Cisco+Pix515E防火墙配置详解_第1页
第1页 / 共11页
Cisco+Pix515E防火墙配置详解_第2页
第2页 / 共11页
Cisco+Pix515E防火墙配置详解_第3页
第3页 / 共11页
Cisco+Pix515E防火墙配置详解_第4页
第4页 / 共11页
Cisco+Pix515E防火墙配置详解_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《Cisco+Pix515E防火墙配置详解》由会员分享,可在线阅读,更多相关《Cisco+Pix515E防火墙配置详解(11页珍藏版)》请在金锄头文库上搜索。

1、目录一、PIX515 分步配置 1 准备工 作.2 2启动接口与转换地址 .3 3配置 IPSEC VPN.4 4配置 VPN Client 拨入 组5 二、VPN Client 配置.9注释:注释:以!开始以!开始,灰色灰色 实际配置:实际配置:红色红色 用户填写参数:用户填写参数:斜体绿色斜体绿色 需修改:需修改:斜体兰色带下划线斜体兰色带下划线Cisco Pix515E 防火墙配置详解一、一、PIX515 分步配置分步配置1. 准备工作准备工作1)连接 Console 口的线缆一条,带有串行接口的笔记本一台2)进入配置模式配置对象配置对象防火墙(防火墙(CISCO-PIX515E)操作步

2、骤操作步骤命令命令目的(注释)目的(注释)Setp1enable 进入特权模式Setp2config terminal进入全局配置模式Setp3hostname name设置防火墙主机名Setp4enable password password设置进入特权模式的密码实际配置: pixfirewall enable ! 进入特权模式 pixfirewall# config terminal ! 进入全局配置模式 pixfirewall (config)# hostname pix515 ! 设置防火墙主机名为 pix515 pix515(config)# enable password 1234

3、56 ! 设置进入特权模式的密码为 1234562启动接口与转换地址启动接口与转换地址工作内容:1)开启接口与端口、为端口命名并设置安全级别 2)端口地址转换【步骤 1】:开启接口与端口命令步骤:配置对象配置对象防火墙(防火墙(CISCO-PIX515E)操作步骤操作步骤命令命令目的(注释)目的(注释)Setp1interface phy-name auto/10/100启动接口Setp2Nameif ethernet0 outside/inside security为端口命名,并设安全级别Setp3ip address name netaddress mask为接口分配 IPSetp4fix

4、up protocol name port允许通过的端口实际配置:interface ethernet0 auto !启用以太网 0 口使用自适应模式 interface ethernet1 100full !启用以太网 1 口并以 100mbit/s 全双工模式通信 nameif ethernet0 outside security0 !为以太网端口 0 命名,并设安全级别为 0 nameif ethernet1 inside security100 !为以太网端口 1 命名,并设安全级别为100 ip address outside 218.247.x.x 255.255.255.128

5、!设置(ethernet0 端口)外网 IP 地址及掩码ip address inside 192.168.x.x 255.255.255.0 !设置(ethernet1 端口)内网 IP 地址及掩码 fixup protocol http 80 !启用 http 协议,对应该商品 80,用来上 WEB 网 fixup protocol ftp 21 !启用 ftp 协议,对应端口 21,文件传输协议 fixup protocol smtp 25 !启用 smtp 协议,对应端口 25,用于邮件发送【步骤 2】:端口地址转换命令步骤:配置对象配置对象防火墙(防火墙(CISCO-PIX515E)

6、操作步骤操作步骤命令命令目的(注释)目的(注释)Setp1global (outside) num netaddress全局地址池Setp2nat (inside) num net mask允许进行 nat 的 IP 地址段Step3Route outside/inside ipaddress mask interface/ipaddr设置路由实际配置:global (outside) 1 interface !这里的 interface 用来指定外部端口上的 IP 地址用于PAT nat (inside) 1 0.0.0.0 0.0.0.0 !允许局域网内所有网段的主机访问外网route o

7、utside 0.0.0.0 0.0.0.0 121.13.x.x !(route 命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口 (outside 口)离开并转发到下一跳路由器的 IP 地址 121.13.x.x3配置配置 IPSEC VPN工作内容:1)配置 IKE 2)配置 IPSEC【步骤 1】:配置 IKE命令步骤:配置对象配置对象防火墙(防火墙(CISCO-PIX515E)操作步骤操作步骤命令命令目的(注释)目的(注释)Setp1Isakmp enable激活或关闭 IKESetp2Isakmp policy创建 IKE 策略Setp3Isakmp key配

8、置预共享密钥Step4Show isakmp policy验证 IKE 配置实际配置:isakmp enable outside !在外部接口上启用 IKE 协商 isakmp key 654321 address 0.0.0.0 netmask 0.0.0.0 !设置预共享密钥和远端 IP 地址及子网掩码 isakmp identity address !将 IKE 身份设置成接口的 IP 地址 isakmp nat-traversal 20 !缺省 keepalives 时间 20 秒 isakmp policy 10 authentication pre-share !使用预先共享密钥进

9、行认证,配置基本的 IKE 策略 isakmp policy 10 encryption des !指定 56 们的 DES 做为 IKE 策略的加密算法 isakmp policy 10 hash md5 !指定 MD5 用于 IKE 策略加密算法 isakmp policy 10 group 2 !定义 phase1 进行 IKE 协商使用 DH group 2 isakmp policy 10 lifetime 86400 !每个安全关联的生存周期为 86400 秒(1 天)【步骤 2】:配置 IPSEC命令步骤:配置对象配置对象防火墙(防火墙(CISCO-PIX515E)操作步骤操作步

10、骤命令命令目的(注释)目的(注释)Setp1Access-list配置加密用访问控制列表Setp2Crypto ipsec transform-set 配置变换集套件Setp3Crypto ipsec security-association lifetime配置全局 ipsec 安全关联生存时间Step4Crypto map配置加密图Step5Crypto map mapname interface将加密图应用到终止或起始接口Step6Show crypto ipsec option显示配置项实际配置:sysopt connection permit-ipsec !对所有的 IPSec 流量

11、不检测允许通过 crypto ipsec transform-set hj_set esp-des esp-md5-hmac ! 可以在一个保密图(crypto map)中定义多个变换集。如果没有使用 IKE, 那么只能定义一种变换集。用户能够选择多达三种变换。 crypto dynamic-map dynmap 10 set transform-set hj_set !使用动态安全关联-创建动态的保密图集 crypto map hj_map 10 ipsec-isakmp dynamic dynmap ! 将动态保密图集加入到正规的图集中(将动态加密图与静态加密图绑定) crypto map

12、 hj_map client configuration address initiate !配置给每个 vpn client 分配 IP 地址 crypto map hj_map client configuration address respond !配置防火墙接受来自任何地址的请求 crypto map hj_map interface outside !绑定动态加密图到 outside(ethernet0 端口)接口4配置配置 VPN Client 拨入组拨入组配置对象配置对象防火墙(防火墙(CISCO-PIX515E)操作步骤操作步骤命令命令目的(注释)目的(注释)Setp1Ip

13、local pool pool_02 10.1.1.1-10.1.1.100 mask 255.255.255.0定义本地 IP 地址池分配给 VPN 客户端接入用户Setp2Vpngroup name address-pool pool_02创建地址 vpn 拨入组,使用 Pool_02 的地址池Setp3Vpngroup name idle-time 1800定义 vpn 客户端拨入的空闲时 间Step6Vpngroup name passwork *创建 VPN 客户端拨入密码Step7write memory将以上配置文件保存注:router#copy running-config s

14、tartup-config ;保存配置router#copy running-config tftp ;保存配置到 tftprouter#copy startup-config tftp ;保存开机配置存到 tftprouter#copy tftp flash: ;下传文件到 flashrouter#copy tftp startup-config;下载配置文件 ROM 状态:Ctrl+Break ;进入 ROM 监控状态rommonconfreg 0x2142 ;跳过配置文件rommonconfreg 0x2102 ;恢复配置文件rommonreset ;重新引导rommoncopy xmo

15、dem: flash: ;从 console 传输文件rommonIP_ADDRESS=10.65.1.2 ;设置路由器 IPrommonIP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码rommonTFTP_SERVER=10.65.1.1 ;指定 TFTP 服务器 IPrommonTFTP_FILE=c2600.bin ;指定下载的文件rommontftpdnld ;从 tftp 下载rommondir flash: ;查看闪存内容rommonboot ;引导 IOS二、二、PIX515 配置文件(配置文件(SHOW RUN)注释:注释:以!开始以!开始,绿色绿色实际配置:实际配置:红色红色 用户填写参数:用户填写参数:斜体兰色斜体兰色 需修改:需修改:斜

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号