pix 远程访问ipsec×××

Ipsec 远程访问×××     思科客户端。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 

说明：client没有固定ip，server分配一个内部ip给client。

两种IKE配置模式协商。

1：网关主动发起

2：客户端主动发起

三个步骤配置IKE模式。

1：定义一个ip地址池。

                                           Ip local pool test 192.168.1.100-192.168.1.200

2：在IKE配置中关联ip地址池

isakmp client configuration address-pool local test outside

3:在加密图设置中，定义加密图和客户端协商IKE模式配置，是否客户端和网关发起这个过程。

                                           Crypto map mymap client configuration addreess initiate

 

扩展认证

认证在阶段1后阶段2前发生，没有xauth ，IKE仅能够认证一个设备

 

 

tunnel group: 为一组用户提供相同的策略。

ASA7.2提供了四个缺省的tunnel group  一个LAN-TO-LAN通道组（DefaultL<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2L），一个远程访问通道组(DefaultRAgroup)，一个WEB×××通道组(DefaultWEB×××Group)，一个缺省的组策略。

 

 

远程访问Ipsec×××  pix配置

 

 

hostname(config)# interface ethernet0

hostname(config-if)# ip address 10.10.4.200 255.255.0.0

hostname(config-if)# nameif outside

hostname(config)# no shutdown

hostname(config)# isakmp policy 1 authentication pre-share

hostname(config)# isakmp policy 1 encryption 3des

hostname(config)# isakmp policy 1 hash sha

hostname(config)# isakmp policy 1 group 2

hostname(config)# isakmp policy 1 lifetime 43200

hostname(config)# isakmp enable outside

hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15

hostname(config)# username testuser password 12345678

hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac

hostname(config)# tunnel-group testgroup type ipsec-ra

hostname(config)# tunnel-group testgroup general-attributes

hostname(config-general)# address-pool testpool

hostname(config)# tunnel-group testgroup ipsec-attributes

hostname(config-ipsec)# pre-shared-key 44kkaol59636jnfx

hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSet

 

hostname(config)# crypto dynamic-map dyn1 1 set reverse-route

hostname(config)# crypto map mymap 1 ipsec-isakmp dynamic dyn1

hostname(config)# crypto map mymap interface outside

hostname(config)# write memory

 

 

转载于:https://blog.51cto.com/bluefox/118519