收藏
下载资源

Cisco+Pix515E防火墙配置详解

上传人:枫** 文档编号:499072610 上传时间:2023-03-26 格式:DOC 页数:11 大小:101KB
返回 下载 相关 举报
Cisco+Pix515E防火墙配置详解_第1页
第1页 / 共11页
Cisco+Pix515E防火墙配置详解_第2页
第2页 / 共11页
Cisco+Pix515E防火墙配置详解_第3页
第3页 / 共11页
Cisco+Pix515E防火墙配置详解_第4页
第4页 / 共11页
Cisco+Pix515E防火墙配置详解_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《Cisco+Pix515E防火墙配置详解》由会员分享,可在线阅读,更多相关《Cisco+Pix515E防火墙配置详解(11页珍藏版)》请在金锄头文库上搜索。

1、Cisco Pix515E防火墙配置详解目录一、PIX515分步配置1 准备工作.22启动接口与转换地址33配置IPSEC VPN44配置VPN Client 拨入组5二、VPN Client配置9注释:以!开始,灰色实际配置:红色用户填写参数:斜体绿色需修改:斜体兰色带下划线一、PIX515分步配置1. 准备工作 1)连接Console口的线缆一条,带有串行接口的笔记本一台 2)进入配置模式配置对象防火墙(CISCO-PIX515E)操作步骤命令目的(注释)Setp1enable 进入特权模式Setp2config terminal进入全局配置模式Setp3hostname name设置防火

2、墙主机名Setp4enable password password设置进入特权模式的密码实际配置:pixfirewall enable !进入特权模式pixfirewall# config terminal !进入全局配置模式pixfirewall (config)# hostname pix515 ! 设置防火墙主机名为pix515pix515(config)# enable password 123456 ! 设置进入特权模式的密码为1234562启动接口与转换地址工作内容:1) 开启接口与端口、为端口命名并设置安全级别2) 端口地址转换【步骤1】:开启接口与端口 命令步骤:配置对象防火墙

3、(CISCO-PIX515E)操作步骤命令目的(注释)Setp1interface phy-name auto/10/100启动接口Setp2Nameif ethernet0 outside/inside security为端口命名,并设安全级别Setp3ip address name netaddress mask为接口分配IPSetp4fixup protocol name port允许通过的端口 实际配置:interface ethernet0 auto !启用以太网0口使用自适应模式interface ethernet1 100full !启用以太网1口并以100mbit/s全双工模式

4、通信nameif ethernet0 outside security0 !为以太网端口0命名,并设安全级别为0nameif ethernet1 inside security100 !为以太网端口1命名,并设安全级别为100ip address outside 218.247.x.x 255.255.255.128 !设置(ethernet0端口)外网IP地址及掩码ip address inside 192.168.x.x 255.255.255.0 !设置(ethernet1端口)内网IP地址及掩码fixup protocol http 80 !启用http协议,对应该商品80,用来上WE

5、B网fixup protocol ftp 21 !启用ftp协议,对应端口21,文件传输协议fixup protocol smtp 25 !启用smtp协议,对应端口25,用于邮件发送【步骤2】:端口地址转换 命令步骤:配置对象防火墙(CISCO-PIX515E)操作步骤命令目的(注释)Setp1global (outside) num netaddress全局地址池Setp2nat (inside) num net mask允许进行nat的IP地址段Step3Route outside/inside ipaddress mask interface/ipaddr设置路由 实际配置:globa

6、l (outside) 1 interface !这里的interface用来指定外部端口上的IP地址用于PATnat (inside) 1 0.0.0.0 0.0.0.0!允许局域网内所有网段的主机访问外网route outside 0.0.0.0 0.0.0.0 121.13.x.x !(route 命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口(outside口)离开并转发到下一跳路由器的IP地址121.13.x.x3配置IPSEC VPN工作内容:1) 配置IKE2) 配置IPSEC【步骤1】:配置IKE 命令步骤:配置对象防火墙(CISCO-PIX515E)操

7、作步骤命令目的(注释)Setp1Isakmp enable激活或关闭IKESetp2Isakmp policy创建IKE策略Setp3Isakmp key配置预共享密钥Step4Show isakmp policy验证IKE配置 实际配置:isakmp enable outside !在外部接口上启用IKE协商isakmp key 654321 address 0.0.0.0 netmask 0.0.0.0 !设置预共享密钥和远端IP地址及子网掩码isakmp identity address !将IKE身份设置成接口的IP地址isakmp nat-traversal 20 !缺省keepal

8、ives时间20秒isakmp policy 10 authentication pre-share !使用预先共享密钥进行认证,配置基本的IKE策略isakmp policy 10 encryption des!指定56们的DES做为IKE策略的加密算法isakmp policy 10 hash md5!指定MD5用于IKE策略加密算法isakmp policy 10 group 2 !定义phase1进行IKE协商使用DHgroup 2isakmp policy 10 lifetime 86400 !每个安全关联的生存周期为86400秒(1天)【步骤2】:配置IPSEC 命令步骤:配置对象

9、防火墙(CISCO-PIX515E)操作步骤命令目的(注释)Setp1Access-list配置加密用访问控制列表Setp2Crypto ipsec transform-set 配置变换集套件Setp3Crypto ipsec security-association lifetime配置全局ipsec安全关联生存时间Step4Crypto map配置加密图Step5Crypto map mapname interface将加密图应用到终止或起始接口Step6Show crypto ipsec option显示配置项 实际配置:sysopt connection permit-ipsec!对所

10、有的IPSec流量不检测允许通过crypto ipsec transform-set hj_set esp-des esp-md5-hmac! 可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。crypto dynamic-map dynmap 10 set transform-set hj_set!使用动态安全关联-创建动态的保密图集crypto map hj_map 10 ipsec-isakmp dynamic dynmap! 将动态保密图集加入到正规的图集中(将动态加密图与静态加密图绑定)crypto map

11、 hj_map client configuration address initiate!配置给每个vpn client分配IP地址crypto map hj_map client configuration address respond!配置防火墙接受来自任何地址的请求crypto map hj_map interface outside !绑定动态加密图到outside(ethernet0端口)接口4配置VPN Client 拨入组配置对象防火墙(CISCO-PIX515E)操作步骤命令目的(注释)Setp1Ip local pool pool_02 10.1.1.1-10.1.1.1

12、00 mask 255.255.255.0定义本地IP地址池分配给VPN客户端接入用户Setp2Vpngroup name address-pool pool_02创建地址vpn 拨入组,使用Pool_02 的地址池Setp3Vpngroup name idle-time 1800定义vpn 客户端拨入的空闲时间Step6Vpngroup name passwork *创建VPN客户端拨入密码Step7write memory将以上配置文件保存注:router#copy running-config startup-config ;保存配置router#copy running-config

13、tftp ;保存配置到tftprouter#copy startup-config tftp ;保存开机配置存到tftprouter#copy tftp flash: ;下传文件到flashrouter#copy tftp startup-config;下载配置文件 ROM状态:Ctrl+Break ;进入ROM监控状态rommonconfreg 0x2142 ;跳过配置文件rommonconfreg 0x2102 ;恢复配置文件rommonreset ;重新引导rommoncopy xmodem: flash: ;从console传输文件rommonIP_ADDRESS=10.65.1.2

14、;设置路由器IPrommonIP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码rommonTFTP_SERVER=10.65.1.1 ;指定TFTP服务器IPrommonTFTP_FILE=c2600.bin ;指定下载的文件rommontftpdnld ;从tftp下载rommondir flash: ;查看闪存内容rommonboot ;引导IOS二、PIX515配置文件(SHOW RUN)注释:以!开始,绿色实际配置:红色用户填写参数:斜体兰色需修改:斜体兰色带下划线interface ethernet0 autointerface ethernet1 autonameif ethernet0 outside security0nameif ethernet1 inside security100

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号