PIX配置专题PIX零起点配置
PIX零起点配置咱们须要掌握如下基本命令(以V7.0以上为例):
一、接口配置:Interface,Nameif,Security-level
二、地址转换:Nat,Global
三、内网远程登录:Telnet,Passwd
PIX零起点配置-1
接口配置:
pix525(config)# interface ethernet 0
pix525(config-if)# ip address 10.1.1.254 255.255.255.0
pix525(config-if)# nameif outside
//为接口命名,该名称可在后面应用接口的时候使用
pix525(config-if)# security-level 0
//指定接口安全等级,0为最低,表示接入的是外部网络,若是给接口命名时使用Outside,则接口安全等级自动设置为0,命名为Inside,则等级为100,为内部网络。设置DMZ时通常使用40
pix525(config)# interface ethernet 1
pix525(config-if)# ip address 192.168.10.254 255.255.255.0
pix525(config-if)# nameif inside
pix525(config-if)# security-level 100
PIX零起点配置-2
地址转换:
pix525(config)# global (outside) 1 interface
//将内部主机的地址映射到外部的接口
pix525(config)# nat (inside) 1 192.168.10.0 255.255.255.0
//指定内部容许进行NAT转换的主机地址,指定的列表“1”要与Outside对应
有的PIX IOS默认时内部主机Ping的回显请求包是不容许经过Outside接口,为了让内网的机器可以PING出去还要加上:
pix525(config)# access-list for_icmp permit icmp any any
pix525(config)# access-group for_icmp in interface outside
//将ACL应用在Outside接口的in方向
PIX零起点配置-3
内网远程登录:
pix525(config)# telnet 0.0.0.0 0.0.0.0 inside
//这里的地址能够指定为某个主机
pix525(config)# passwd [passwd]
//设置登录密码
pix525(config)# enable password [passwd]
配置到这里,咱们能够利用Cisco PIX防火墙的功能顺利地实现内部用户的正常上网(NAT),也能够在内网利用远程登录的功能访问接入防火墙。
但防火墙从外部是不容许随意链接的,而且如何保证内部用户的安全,如何方便地提供移动办公人员的远程接入,在下面的PIX进阶配置中咱们将做进一步的阐述。
PIX进阶配置-1
在PIX上配置SSH:
什么是SSH?
安全外壳(Secure SHell )是专用的,提供基于Internet的数据安全技术和解决方案,尤为是加密和身份验证产品。经过使用SSH,能够把全部传输的数据进行加密。
pix525(config)# ca zeroize
pix525(config)# ca generate
pix525(config)# ca save
//以上配置用来清除、建立并保存CA证书,产生密钥,因使用SSH认证须要在Server端与Client端之间交换密钥
pix525(config)# ssh 0.0.0.0 0.0.0.0 outside
//配置外部网络使用SSH线路的受权IP
pix525(config)# username [admin] password [admin]
//建立认证时的用户名和密码
pix525(config)# aaa authentication ssh console LOCAL
//在本地进行认证,为可选项,也能够Tacacs+或Radius上进行,注意这里的“LOCAL”为大写
PIX进阶配置-2
在PIX上配置PPPoE拨号链接(因为实验室环境没法模拟真实的PPPoE环境,所以你们只须要将有用的配置记录下来便可):
V6.4:
ip address outside pppoe setroute
vpdn group pppoex request dialout pppoe
vpdn group pppoex localname
XXXXXXXX@fzlan
vpdn group pppoex ppp authentication pap
vpdn username
480082917@fzlan password *********
V7.2:
pix525(config)# interface ethernet0
pix525(config-if)# pppoe client vpdn group pppoe
pix525(config)# vpdn group pppoe request dialout pppoe
pix525(config)# vpdn group pppoe localname
123456789@fzlan
pix525(config)# vpdn group pppoe ppp authentication pap
pix525(config)# vpdn username
123456789@fzlan password *********
PIX进阶配置-3
配置IPSEC ×××远程拨入链接:
准备工做:Client端安装了cisco *** client软件。验证的过程为两次验证,首先验证用户所在分组(Tunnel-group),再验证用户身份是否受权链接。
IPSec ××× Server端配置步骤:
一、配置IKE:定义isakmp策略集。
二、配置IPSec:定义IPSec变换集,由于拨入链接的源IP没法肯定,因此采用了动态交换的方式,该变换集在映射图(map)中被引用。
三、建立加密映射表(Crypto map),将IKE策略集与IPSec变换集应用于接口并发送。
四、创建用户验证时的分组(Tunnel-group),指定了远程接入的方式与用户拨入的地址池(Local Pool)以及分组验证的密码(Pre-share-key)。
五、指定不进行NAT转换的地址。
六、以上述方式接入×××网络,只可以访问×××的内部网络,所以为了实现内部外部都可以互连,还必须加入“×××隧道分离”技术,即:定义一组策略(Group-policy),指定隧道分离机制,再定义须要分离的流量,应用于用户分组中。
一、配置IKE,IPSec变换集及加密映射表
pix525(config)# crypto ipsec transform-set <myset> esp-des esp-md5-hmac
pix525(config)# crypto dynamic-map <rtpdynmap> <20> set transform-set <myset>
pix525(config)# crypto map <mymap> <20> ipsec-isakmp dynamic <rtpdynmap>
pix525(config)# crypto map <mymap> interface outside
pix525(config)# crypto isakmp identity address
pix525(config)# crypto isakmp enable outside
pix525(config)# isakmp policy <10>
pix525(config-isakmp-policy)# authentication pre-share
pix525(config-isakmp-policy)# encryption des
pix525(config-isakmp-policy)# hash md5
二、创建用户分组信息
pix525(config)# ip local pool <ipsec-client> 192.168.10.100-192.168.10.110 mask 255.255.255.0
pix525(config)# tunnel-group <group1> type ipsec-ra
//“spoto1”为用户第一次验证时须要填的分组信息
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# address-pool <ipsec-client>
pix525(config-tunnel-general)# authentication-server-group LOCAL(必须大写)
//为IPSEC第二次进行的身份认证,即username password
pix525(config)# tunnel-group <group1> ipsec-attributes
pix525(config-tunnel-ipsec)# pre-shared-key [passwd] //为分组密码
pix525(config)# access-list <name> permit ip 192.168.10.0 255.255.255.0 192.168.10.0 255.255.255.0
//指定不进行NAT转换的流量
pix525(config)# nat (inside) 0 access-list <name>
//这里的“0”表示不进行NAT转换
三、配置IPSec隧道分离
pix525(config)# access-list <tunnellist> permit 192.168.10.0 255.255.255.0
//指定须要进行分离的流量,通常为Client拨入的地址段
pix525(config)# group-policy <group> internal
pix525(config)# group-policy <group> attributes
pix525(config-group-policy)# ***-idle-timeout 20
pix525(config-group-policy)# split-tunnel-policy tunnelspecified
pix525(config-group-policy)# split-tunnel-network-list value <tunnellist>
//建立隧道分离的组策略
pix525(config)# tunnel-group <group1> general-attributes
pix525(config-tunnel-general)# default-group-policy <group>
//应用于用户分组中
--------------------------------------------------------------------------------------------------
PIX525-IPSEC-×××配置
实验要求:
在PIX525上进行配置,要求内网PC2能telnet 登入到PIX525上;外网PC1能够经过SSH方式登入到
PIX525;经过在PIN525上配置NAT 使内网PC2能够ping通外网的R1,R2,PC1;在PIX525上配置
IPSEC-×××,使PC1能够经过IPSEC-××× 方式登录到内网上,并PING通内网主机PC2。
IP地址表:(如图)
pc1<----------------------->R1<----------------------->R2<----------------------->PIX<---------------------->pc2
E0 S0 S0 E0 E0 E1
11.1.1.10/24 12.1.1.1/24 23.1.1.2/24 192.168.11.254/24
11.1.1.254/24 12.1.1.2/24 23.1.1.3/24 192.168.11.10/24
实验配置以下:
1、路由器和PC 机配置
配置R1:
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int S0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int E0
R1(config-if)#ip add 11.1.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#network 12.1.1.1
R1(config-router)#network 11.1.1.0
R1(config-router)#end
R1#sh run
配置R2:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#int S0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#clock rate 64000
R2(config-if)#int E0
R2(config-if)#ip add 23.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
R2(config-router)#end
R2#sh run
配置PC机:
PC1:修改本地链接的TCP/IP属性,设置IP:11.1.1.10 掩码:255.255.255.0 网关:11.1.1.254
PC2:修改本地链接的TCP/IP属性,设置IP:192.168.11.10 掩码:255.255.255.0 网关:192.168.11.254
2、PIX525防火墙配置:
1.接口配置:
pixfirewall>en
pixfirewall#conf t
pixfirewall(config)#ho PIX525
PIX525(config)#int E0
PIX525(config-if)#ip add 23.1.1.3 255.255.255.0
PIX525(config-if)#nameif outside //设置接口为外网接口,启动安全级别为0
PIX525(config-if)#security-level 0
PIX525(config-if)#no shut
PIX525(config-if)#int E1
PIX525(config-if)#ip add 192.168.11.254 255.255.255.0
PIX525(config-if)#nameif inside //设置接口为内网接口,启动安全级别为100
PIX525(config-if)#security-level 100
PIX525(config-if)#no shut
PIX525(config-if)#exit
PIX525(config)#
2配置容许内网telnet登入:
PIX525(config)#telnet 0.0.0.0 0.0.0.0 inside //设置E1链接的内网全部主机能够远程登入到PIX上
PIX525(config)#passwd spoto //设置内网主机Telnet 登入到PIX上的密码
PIX525(config)#enable password spoto
3.配置容许外网SSH 登入:
PIX525(config)#ca zeroize //清除原有的CA配置
PIX525(config)#ca generate //配置CA为普通级别配置
PIX525(config)#ca save //保存CA配置
PIX525(config)#ssh 0.0.0.0 0.0.0.0 outside //容许外部全部网络经过SSH 方式从E0口登入
PIX525(config)#username admin password admin //创建一本地用户,×××和SSH 登入时使用
PIX525(config)#aaa authentication ssh LOCAL //使用本地用户认证
4.配置PAT:
PIX525(config)#global (outside) 1 interface //经过出接口方式转换为外网地址
PIX525(config)#nat (inside) 1 192.168.11.0 255.255.255.0 //容许转换的内部地址网络
PIX525(config)#route outside 0.0.0.0 0.0.0.0 23.1.1.2 //起默认路由,让内网能ping通外网网段
为了让内网的机器可以PING 出去还要加上: //默认状况下,外网是不容许ping 通内网的,当内网的
ping 包出去后,在返回时候会被outside 接口拒绝或者丢弃,因此要让outside 接口能接受这个包,做
以下配置:
PIX525(config)#access-list 100 permit icmp any any
PIX525(config)#access-group 100 in interface outside
5.IPSEC-×××配置:
PIX525(config)#ip local pool ipsec*** 192.168.11.20-192.168.11.120 mask 255.255.255.0
//创建××× 动态IP 地址池,当外网用户使用IPSEC--×××方式登录时候,自动从IP池分配一个IP 给用户
PIX525(config)#access-list nonat permit ip 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0
//创建列表容许内网网段(含××× 网段)经过PIX 防火墙时,不须要NAT 转换
PIX525(config)#nat (inside) 0 access-list nonat //应用访问控制列表,0表示不进行转换
PIX525(config)# sysopt connection permit-***
――――――
PIX525(config)#access-list tunnellist permit 192.168.11.0 255.255.255.0
PIX525(config)#group-policy spoto internal //创建内部组策略,命名为spoto
PIX525(config)#group-policy spoto attributes
PIX525(config-group-policy)#***-idle-timeout 20 //设置×××超时时间为20钟
PIX525(config-group-policy)#split-tunnel-policy tunnelspecified //创建隧道分离策略
PIX525(config-group-policy)#split-tunnel-network-list value tunnellist
//与tunnellist匹配的网络将所有使用隧道分离
――――――
PIX525(config-group-policy)#exit
PIX525(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac
//ipsec的数据转换格式集经过des方式加密,对方经过哈希表-md5方式还原数据
PIX525(config)#crypto dynamic map mydynmap 20 set transform-set myset
//创建加密动态映射图,并采用上建的myset 方式加密解密
PIX525(config)#crypto map mymap 20 ipsec-isakmp dynamic mydynmap
//创建加密静态映射图,加密静态映射图中ipsec-isakmp 采用上建的加密动态映射图加密
PIX525(config)#crypto map mymap interface outside //将加密静态映射图应用于外网接口
PIX525(config)#crypto isakmp identity address //isakmp采用地址验证
PIX525(config)#crypto isakmp enable outside //isakmp 应用于外网接口
// isakmp:Internet Security Association and Key Management Protocol policy.
互连网安全密钥管理协议策略 应用到外网接口
――――――
PIX525(config)#crypto isakmp policy 10 //创建isakmp 策略
PIX525(config-isakmp-policy)#authentication pre-share //使用共享密钥认证
PIX525(config-isakmp-policy)#encryption des //使用des算法加密
PIX525(config-isakmp-policy)#hash md5 //哈希使用MD5算法还原数据
PIX525(config-isakmp-policy)#end
PIX525(config)#tunnel-group spoto10 type ipsec-ra //创建××× 远程登入(即便用隧道分离)组 PIX525(config)#tunnel-group general-attributes //配置×××远程登入(即便用隧道分离)组的基本属性 PIX525(config-tunnel-general)#address-pool ipsev*** //设置×××登入内网时分配的IP地址池 PIX525(config-tunnel-general)#authentication-server-group LOCAL //服务端组使用本地认证 ―――――― PIX525(config-tunnel-general)#default-group-policy spoto //指定默认的组策略为spoto ―――――― PIX525(config-tunnel-general)#exit PIX525(config)#tunnel-group spoto10 ipsec-attributes //设置××× 远程登入(即便用隧道分离)组的 ipsec属性 PIX525(config-tunnel-ipsec)#pre-share-key spoto //设置使用的共享密钥为spoto 6.验证: 在外网PC1 上使用××× 方式测试是否能成功登入到PIX525 上(须要安装×××-CLIENT 软件),在 ×××-CLIENT 上host项上输入PIX525的outside接口地址,而后输入××× 组spoto10和密码spoto, 点击链接,等待输入用户名和密码。输入完用户名密码等待PIX验证后,在运行下输入cmd进入CLI模 式。在CLI模式下输入ipconfig /all查看是否获取到ipsec*** 地址池中分配到的IP 地址,若分配到则 成功使用×××方式登入到了PIX 上,确切说登入到了内部网络上。这样PC1就如同在内部网络中同样可 以随意使用内部网络资源了!