利用PIX来搭建×××

原创

yihao888go 2009-12-22 21:13:06 博主文章分类：CISCO专栏 ©著作权

©著作权归作者所有：来自51CTO博客作者yihao888go的原创作品，请联系作者获取转载授权，否则将追究法律责任

                    PIX 防火墙与路由器之间的×××

拓扑图

PIX

E0/0:10.1.1.1    E0/1:192.168.1.1   SMTP:10.1.1.10

R1

F0/0:20.1.1.2     F0/1:192.168.10.1

Iternet

F0/0:10.1.1.2     F0/1:20.1.1.1   E1/1:221.5.88.1

DNS服务器:221.5.88.88

Exchange1   Exchange2

Server1:192.168.1.100     server2:192.168.10.100

1.     配置各接口的IP地址,使相邻设备能ping的通.

PIX(config)# nameif ethernet0 outside security0(定义接口的名称和安全级别)

Pix(config)#nameif ethernet1 inside security100

PIX(config)# config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型）

Pix(config)#interface ethernet1 100ful(表示100Mbit/s的以太网全双功通信)

Pix525(config)#ip address outside 10.1.1.1 255.255.255.0

Pix525(config)#ip address inside 192.168.1.1 255.255.255.0(配置内外网卡的IP地址)

PIX(config)#show interface (查看接口的状态)

各路由器接口配置就不详细说明

2.     在Iternet路由器上做两条静态路由,使221.5.88.88的流量能返回server服务器中

Iternet(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1

Iternet(config)#ip route 192.168.10.0 255.255.255.0 20.1.1.2

3.     在PIX和分部路由器上做×××和相对的一条默认路由,使两边能够上网,通过×××能相互通信.

PIX的配置

PIX(config)# access-list secure permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0 (定义感兴趣数据流)

PIX(config)# nat (inside) 0 access-list secure(不允许NAT出去)
PIX(config)# nat (inside) 1 0 0(允许任何进来)
PIX(config)# global (outside) 1 interface(访问internet的数据流使用PAT出去。)
PIX(config)# crypto isakmp enable outside (在外部接口上启用ISAKMP)
PIX(config)# crypto isakmp policy 1 authentication pre-share(认证方法使用预共享密钥)
PIX(config)# crypto isakmp policy 1 encryption des (加密方法使用des)
PIX(config)# crypto isakmp policy 1 hash md5 (散列算法使用md5)
PIX(config)# crypto isakmp policy 1 group 2(DH模长度为1024)
PIX(config)# crypto isakmp identity address (将ISAKMP预共享密钥和对等体关联)
PIX(config)# crypto isakmp key cisco1234 address 20.1.1.2(预共享密钥为“cisco1234”)
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac(设置ipsec转换集)
PIX(config)# crypto map cisco 1 ipsec-isakmp(设置加密图。)
PIX(config)# crypto map cisco 1 match address secure(加载感兴趣流)
PIX(config)# crypto map cisco 1 set transform-set ccsp(选择转换集)
PIX(config)# crypto map cisco 1 set peer 20.1.1.2 (设置对等体地址)
PIX(config)# crypto map cisco 1 set pfs group2(设置完美前向保密，DH模长度为1024)
PIX(config)# crypto map cisco interface outside(在外部接口上应用加密图。)
PIX(config)# sysopt connection permit-ipsec(指定IPsec的流量是可信任的)

PIX(config)#route outside 0.0.0.0 0.0.0.0 10.1.1.2 (做一条默认路由)

分部路由器上×××和NAT的相关配置
r1(config)#int f0/1
r1(config-if)#ip nat inside(定义进来的流量)
r1(config-if)#exit
r1(config)#int f0/0
r1(config-if)#ip nat outside(定义出去的流量)
r1(config-if)#exit
r1(config)#access-l 100 deny ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
r1(config)#access-l 100 permit ip 192.168.10.0 0.0.0.255 any(定义需要被NAT的数据流)
r1(config)#ip nat inside source list 100 interface s0 overload(做动态PAT地址转换)
r1(config)#access-list 120 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 (定义加密传输的数据流)
r1(config)#crypto isakmp enable(启用ISAKMP策略)
r1(config)#crypto isakmp policy 1(定义优先级)
r1(config-isakmp)#authentication pre-share (认证方法使用预共享密钥)
r1(config-isakmp)#encryption des(加密方法使用des)
r1(config-isakmp)#hash md5(散列算法使用md5)
r1(config-isakmp)#group 2(DH模长度为1024)
r1(config)#crypto isakmp identity address
r1(config)#crypto isakmp key cisco1234 address 10.1.1.1(将ISAKMP预共享密钥和对等体关联，预共享密钥为“cisco1234”,这里一定要注意跟对端的密钥一样)
r1(config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac
r1(cfg-crypto-trans)#mode tunnel (设置ipsec转换集)：
r1(config)#crypto map cisco 1 ipsec-isakmp (设置加密图的名称)
r1(config-crypto-map)#match address 120(加载感兴趣流,这里是第二个加密的ACL)
r1(config-crypto-map)#set peer 10.1.1.1(设置对等体地址)
r1(config-crypto-map)#set transform-set ccie (选择转换集)
r1(config-crypto-map)#set pfs group2(设置完美前向保密，DH模长度为1024)
r1(config)#int f0/0
r1(config-if)#crypto map cisco(在外部接口上应用加密图)

R1(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1 (做一条默认路由出去)

完成后测试,总部能ping通分部,反过来也一样

再用show crypto isakmp sa 和show crypto ipsec sa 查看配置
在Iternet路由器上把两条静态路由删除,看通信效果如何？×××是否能通!

4.分别在总部和分部搭建好Exchange服务器,在做SMTP连接器看能不能相互发邮件.