四臺Cisco防火墻實現VPN網絡

2019-11-05 00:08:37

字體：大中小

來源：轉載

供稿：網友

　　其實四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區別，只是一定要注重路由的配置（我就是在這上面花了很長的時間，不是多寫就是少寫了，多少都是不會通的）；在四臺Cisco pix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的（我自己起的名字J），前者，也就是說以一個PIX點為中心，其它的機器都連到本機上，在通過本機做路由；后者，則是在每一個路由上都要寫出到另外三臺的加密方式（聽來就很麻煩），這里我采用的就是第一種類型（不是我偷懶，而是客戶要求，誰讓客戶是上帝了呢！）；
　　以下，是施工圖以及四個Cisco pix的具體配置：
　　具體配置如下：
　　中心pix1：
　　: Saved
　　: Written by enable_15 at 23:10:31.763 UTC Thu APR 24 2003
　　PIX Version 6.2(2)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable passWord NHvIO9dsDwOK8b/k encrypted
　　passwd NHvIO9dsDwOK8b/k encrypted
　　hostname pixfirewall
　　fixup protocol FTP 21
　　fixup protocol http 80
　　fixup protocol h323 h225 1720
　　fixup protocol h323 ras 1718-1719
　　fixup protocol ils 389
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　fixup protocol sip 5060
　　fixup protocol SKINny 2000
　　names
　　access-list 101 permit ip 172.17.0.0 255.255.0.0 172.16.0.0 255.255.0.0
　　access-list 101 permit ip 172.17.5.0 255.255.255.0 172.17.10.0 255.255.255.0
　　access-list 101 permit ip 172.17.10.0 255.255.255.0 172.17.5.0 255.255.255.0
　　access-list 101 permit ip 172.16.0.0 255.255.0.0 172.17.0.0 255.255.0.0
　　access-list 101 permit ip 172.17.5.0 255.255.255.0 172.17.17.0 255.255.255.0
　　access-list 101 permit ip 172.17.10.0 255.255.255.0 172.17.17.0 255.255.255.0
　　access-list hyzc permit icmp any any
　　access-list hyzc permit tcp any any
　　access-list hyzc permit udp any any
　　pager lines 24
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 192.168.0.2 255.255.255.240
　　ip address inside 172.17.5.1 255.255.255.0
　　ip audit info action alarm
　　ip audit attack action alarm
　　pdm history enable
　　arp timeout 14400
　　nat (outside) 1 0.0.0.0 0.0.0.0 0 0
　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0
　　access-group hyzc in interface outside
　　route outside 0.0.0.0 0.0.0.0 218.7.16.49 1
　　route inside 172.17.0.0 255.255.0.0 172.17.5.20 1
　　route outside 172.17.17.0 255.255.255.0 192.168.0.4 1
　　route outside 172.17.16.0 255.255.255.0 192.168.0.1 1
　　route outside 172.16.0.0 255.255.255.0 192.168.0.3 1
　　route outside 172.17.18.0 255.255.255.0 218.7.16.52 1
　　route outside 172.17.18.64 255.255.255.0 218.7.16.49 1
　　route outside 218.7.248.100 255.255.255.252 218.7.16.49 1
　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　aaa-server LOCAL protocol local
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　no sysopt route dnat
　　crypto ipsec transform-set strong esp-des esp-sha-hmac
　　crypto map tohyjt 20 ipsec-isakmp
　　crypto map tohyjt 20 match address 101
　　crypto map tohyjt 20 set peer 192.168.0.3
　　crypto map tohyjt 20 set peer 192.168.0.4
　　crypto map tohyjt 20 set peer 192.168.0.1
　　crypto map tohyjt 20 set transform-set strong
　　crypto map tohyjt interface outside
　　isakmp enable outside
　　isakmp key cisco address 192.168.0.3 netmask 255.255.255.255
　　isakmp key cisco address 192.168.0.4 netmask 255.255.255.255
　　isakmp key cisco address 192.168.0.1 netmask 255.255.255.255
　　isakmp identity address
　　isakmp policy 9 authentication pre-share
　　isakmp policy 9 encryption des
　　isakmp policy 9 hash sha
　　isakmp policy 9 group 1
　　isakmp policy 9 lifetime 86400
　　telnet 218.7.16.49 255.255.255.255 inside
　　telnet 172.17.5.20 255.255.255.255 inside
　　telnet timeout 5
　　ssh timeout 5
　　terminal width 80
　　Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a
　　: end
　　pix2配置：
　　: Saved
　　: Written by enable_15 at 00:00:48.042 UTC Fri Apr 25 2003
　　PIX Version 6.2(2)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password N.swjdczcTdUzgrS encrypted
　　passwd N.swjdczcTdUzgrS encrypted
　　hostname HYZCrc
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 h225 1720
　　fixup protocol h323 ras 1718-1719
　　fixup protocol ils 389
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　fixup protocol sip 5060
　　fixup protocol skinny 2000
　　names
　　access-list 101 permit ip 172.17.17.0 255.255.255.0 172.17.10.0 255.255.255.0
　　access-list 101 permit ip 172.17.17.0 255.255.255.0 172.17.5.0 255.255.255.0
　　access-list hyzc permit icmp any any
　　access-list hyzc permit tcp any any
　　access-list hyzc permit udp any any
　　pager lines 24
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 192.168.0.4 255.255.255.252
　　ip address inside 172.17.17.254 255.255.255.0
　　ip audit info action alarm
　　ip audit attack action alarm
　　pdm history enable
　　arp timeout 14400
　　nat (outside) 1 0.0.0.0 0.0.0.0 0 0
　　nat (inside) 0 access-list 101
　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0
　　route outside 0.0.0.0 0.0.0.0 218.7.37.5 1
　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　aaa-server LOCAL protocol local
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　no sysopt route dnat
　　crypto ipsec transform-set strong esp-des esp-sha-hmac
　　crypto map tohyzc 20 ipsec-isakmp
　　crypto map tohyzc 20 match address 101
　　crypto map tohyzc 20 set peer 192.168.0.2
　　crypto map tohyzc 20 set transform-set strong
　　crypto map tohyzc interface outside
　　isakmp enable outside
　　isakmp key cisco address 192.168.0.2 netmask 255.255.255.255
　　isakmp identity address
　　isakmp policy 9 authentication pre-share
　　isakmp policy 9 encryption des
　　isakmp policy 9 hash sha
　　isakmp policy 9 group 1
　　isakmp policy 9 lifetime 86400
　　telnet 172.17.17.253 255.255.255.255 inside
　　telnet timeout 5
　　ssh timeout 5
　　terminal width 80
　　Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a
　　: end
　　
　　
　　pix3配置：
　　: Saved
　　:
　　PIX Version 6.0(1)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password X8QPBTnOSyX6X9Y9 encrypted
　　passwd X8QPBTnOSyX6X9Y9 encrypted
　　hostname pixfirewall
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 1720
　　fixup protocol rsh 514
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　fixup protocol sip 5060
　　fixup protocol skinny 2000
　　names
　　access-list 101 permit ip 172.16.0.0 255.255.0.0 172.17.0.0 255.255.0.0
　　access-list hy_in permit tcp any host 218.7.24.163 eq 8080
　　access-list hy_in permit tcp any host 218.7.24.162 eq pop3
　　access-list hy_in permit tcp any host 218.7.24.162 eq smtp
　　access-list hy_in permit icmp any any
　　access-list hy_in permit tcp any host 218.7.24.169
　　access-list hy_in permit tcp any host 218.7.24.171
　　access-list hy_in permit tcp any host 218.7.24.172
　　access-list hy_in permit tcp any host 218.7.24.173 eq 500
　　access-list hy_in permit udp any host 218.7.24.173 eq isakmp
　　pager lines 24
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 192.168.0.3 255.255.255.252
　　ip address inside 172.16.16.5 255.255.0.0
　　ip audit info action alarm
　　ip audit attack action alarm
　　no failover
　　failover timeout 0:00:00
　　failover poll 15
　　failover ip address outside 0.0.0.0
　　failover ip address inside 0.0.0.0
　　pdm history enable
　　arp timeout 14400
　　nat (inside) 0 access-list 101
　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0
　　access-group hy_in in interface outside
　　route outside 0.0.0.0 0.0.0.0 218.7.248.101 1
　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　no sysopt route dnat
　　crypto ipsec transform-set strong esp-des esp-sha-hmac
　　crypto map tohyzc 20 ipsec-isakmp
　　crypto map tohyzc 20 match address 101
　　crypto map tohyzc 20 set peer 218.7.248.134
　　crypto map tohyzc 20 set transform-set strong
　　crypto map tohyzc interface outside
　　isakmp enable outside
　　isakmp key cisco address 218.7.248.134netmask 255.255.255.255
　　isakmp identity address
　　isakmp policy 9 authentication pre-share
　　isakmp policy 9 encryption des
　　isakmp policy 9 hash sha
　　isakmp policy 9 group 1
　　isakmp policy 9 lifetime 86400
　　telnet 172.16.0.0 255.255.0.0 inside
　　telnet timeout 5
　　ssh timeout 5
　　terminal width 80
　　Cryptochecksum:e4784293ff665fc559df92cb2d1d430e
　　: end
　　pix4配置：
　　: Saved
　　: Written by enable_15 at 00:00:48.042 UTC Fri Apr 25 2003
　　PIX Version 6.2(2)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password N.swjdczcTdUzgrS encrypted
　　passwd N.swjdczcTdUzgrS encrypted
　　hostname HYZCrc
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 h225 1720
　　fixup protocol h323 ras 1718-1719
　　fixup protocol ils 389
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　fixup protocol sip 5060
　　fixup protocol skinny 2000
　　names
　　access-list 101 permit ip 172.17.5.0 255.255.255.0 172.17.16.0 255.255.255.0
　　access-list 101 permit ip 172.17.10.0 255.255.255.0 172.17.16.0 255.255.255.0
　　access-list hi permit icmp any any
　　access-list hi permit tcp any any
　　access-list hi permit udp any any
　　pager lines 24
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 192.168.0.1 255.255.255.252
　　ip address inside 172.17.16.254 255.255.255.0
　　ip audit info action alarm
　　ip audit attack action alarm
　　pdm history enable
　　arp timeout 14400
　　nat (outside) 1 0.0.0.0 0.0.0.0 0 0
　　nat (inside) 0 access-list 101
　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0
　　route outside 0.0.0.0 0.0.0.0 218.7.37.1 1
　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　aaa-server LOCAL protocol local
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　no sysopt route dnat
　　crypto ipsec transform-set strong esp-des esp-sha-hmac
　　crypto map tohyzc 20 ipsec-isakmp
　　crypto map tohyzc 20 match address 101
　　crypto map tohyjt 20 set peer 192.168.0.2
　　crypto map tohyzc 20 set transform-set strong
　　crypto map tohyzc interface outside
　　isakmp enable outside
　　isakmp key cisco address 192.168.0.2 netmask 255.255.255.255
　　isakmp identity address
　　isakmp policy 9 authentication pre-share
　　isakmp policy 9 encryption des
　　isakmp policy 9 hash sha
　　isakmp policy 9 group 1
　　isakmp policy 9 lifetime 86400
　　telnet 172.17.16.253 255.255.255.255 inside
　　telnet timeout 5
　　ssh timeout 5
　　terminal width 80
　　Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a
　　: end
　　在以上的配置中，主要是中心點的路由，要注重，在配置過程開始時，sh isakmp sa 發現鏈路以建立，可是就是Ping不通，發現是因為沒有針對于所在地的路由，還有就是當打開debug命令監控時，debug crypto isakmp ; debug crypto ipsec ;時，在內網的機器執行ping命令后，沒有任何反映，后發現缺少命令激活擴展列表，具體命令：nat (inside) 0 access-list 101,
　　在就是我在pix3時內部多加了兩條路由，靜態的到中心的路由，在pix3以內怎么也Ping不出去，后來去掉以后發現通過。
看來多寫也是不行的。從總的來說，兩臺pix做vpn同多臺機器做vpn沒什么什么大的區別，主要是多寫幾條peer，也就是crypto map tohyjt 20 set peer 192.168.0.2（中間的名字 tohyjt這個沒什么實際的規定，想寫什么就寫什么，但是最好是一致）和isakmp key cisco address ；在就是前面所提的路由（在中心點的配置中可以看到，在這里我隱去了真正的ip，主要是為客戶的安全考慮，而已一個私有的IP網段來設定。。。。。。

上一篇：Cisco資深專家在線解決全世界用戶voip問題集錦－連載三

下一篇：Cisco資深專家在線解決全世界用戶voip問題集錦－連載六