Cisco-Pix515e-r-IKE配置示例

下面是具体配置:

PIX Version 6.3(1) // os 我用的 6.3 版本的,这个版本支持 IPSec VPN with NAT

interface ethernet0 auto

interface ethernet1 auto

ameif ethernet0 outside security0

ameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

asswd 2KFQnbNIdI.2KYOU encrypted

hostname ISSC-PIX515E-R

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

ames

access-list 101 permit ip 192.168.10.0 255.255.255.0 192.168.32.0 255.255.255.0

access-list 102 permit ip 192.168.10.0 255.255.255.0 192.168.32.0 255.255.255.0

access-list 104 permit icmp any any

ager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 10.0.0.1 255.255.255.0

ip address inside 192.168.10.252 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool pccw 192.168.32.1-192.168.32.10

ip local pool pccw02 192.168.32.50

dm history enable

arp timeout 14400

global (outside) 1 interface

at (inside) 0 access-list 102 //对VPN连接的用户不经过NAT,这里的102对应上面的access-list 102

at (inside) 1 192.168.10.0 255.255.255.0 0 0

access-group 104 in interface outside

route outside 0.0.0.0 0.0.0.0 202.108.48.181 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa-server partnerauth protocol radius

aaa-server partnerauth (inside) host 192.168.10.110 cisco123 timeout 10 //指定Radius服务器IP及key

aaa-server parnerauth protocol tacacs+

o snmp-server location

o snmp-server contact

mp-server community public

o snmp-server enable traps

floodguard enable

ysopt connection permit-ipsec

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto dynamic-map dynmap 10 set transform-set myset

crypto map mymap 10 ipsec-isakmp dynamic dynmap

crypto map mymap client configuration address initiate

crypto map mymap client configuration address respond

crypto map mymap client authentication partnerauth //设置通过Radius进行用户身份验证

crypto map mymap interface outside

isakmp enable outside

isakmp identity address

isakmp nat-traversal 10 //这句就是允许NAT用户穿过PIX,在6.3中才新增的特性,例如解决局域网内NAT VPN拨号问题

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool pccw //以下我建了两个组,如果要为每个组分配一个固定IP的话,只有为每个用户建立一个Group了,哎,提出这样要求的客户简直是折磨人 :(

vpngroup vpn3000 dns-server 202.96.134.133

vpngroup vpn3000 split-tunnel 102

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

vpngroup link address-pool pccw02

vpngroup link split-tunnel 102

vpngroup link idle-time 1800

vpngroup link password ********

telnet 192.168.32.0 255.255.255.0 outside

telnet 192.168.10.0 255.255.255.0 inside

telnet timeout 5

h timeout 5

console timeout 0

terminal width 80

Cryptochecksum:81630e6f8040b488f6c2e6c6ff872804

: end

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • Cisco路由器的安全配置

    目前大多数的企事业单位和部门连Internet网,通常都是一台路由器与ISP连结实现.这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障.现在大多数的路由器都是Cisco公司的产品或与其功能近似,本文在这里就针对Cisco路由器的安全配置进行管理. 考虑到路由器的作用和位置, 路由器配置的好坏不仅影响本身的安全也影响整个网络的安全.目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访

  • Cisco路由器的安全配置简易方案

    Cisco路由器的安全配置简易方案一,路由器访问控制的安全配置1,严格控制可以访问路由器的管理员.任何一次维护都需要记录备案.2,建议不要远程访问路由器.即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制.3,严格控制CON端口的访问.具体的措施有:A,如果可以开机箱的,则可以切断与CON口互联的物理线路.B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).C,配合使用访问控制列表控制对CON口的访问.如:Router(Config)#Access-lis

  • Cisco基于策略路由的配置实例

    问题描述 您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定.在这里 您可以学到怎么使用基于策略路由的办法来解决这一问题. 在具体的应用中,基于策略的路由有: ☆ 基于源IP地址的策略路由 ☆ 基于数据包大小的策略路由 ☆ 基于应用的策略路由 ☆ 通过缺省路由平衡负载 这里,讲述了第一种情况的路由策略. 举例 在这个例子中,防火墙的作用是:把10.0.0.0/8内部网地址翻译成可路由的172.16 .255.0/24子网地址. 下面的防火墙配置是为了完整性而加进去的,它不是策略路由

  • Maven镜像地址配置示例大全

    最近在准备项目架构时,虽然自己已经又了私服,通过私服进行仓库的管理,但是由于网速的限制原因,又想在项目环境迁移时可以快速的构建并启动或者快速更新,之前项目开发的工作中,使用了一个国外的一个仓库,拉取了一些坏的包,导致了一些异常,后来搞了好几天才解决掉(解决办法:当然是更换仓库镜像地址咯!!!),所以花费了些时间收集并整理了这些 maven镜像地址. Maven 镜像地址大全 1.阿里的镜像地址 <mirror>     <id>alimaven</id>     <

  • 完整的logback配置示例ELK整合包含生成json日志

    目录 一.依赖 二.配置说明 三.完整配置 一.依赖 由于配置中使用了json格式的日志输出,所以需要引入如下依赖 "net.logstash.logback:logstash-logback-encoder:4.11", 二.配置说明 1.日志的输出路径 <property name="LOG_PATH" value="phantom-log" /> 2.读取spring容器中的属性,这里是获取项目名称和运行的服务器IP <s

  • FreeRTOS操作系统的配置示例解析

    目录 1. FreeRTOSConfig.h 文件 2.  “INCLUDE_” 开始的宏 3.“config”开始的宏 FreeRTOS 的系统配置文件为 FreeRTOSConfig.h,在此配置文件中可以完成 FreeRTOS 的裁剪和配置. 1. FreeRTOSConfig.h 文件 FreeRTOS 的配置基本是通过在 FreeRTOSConfig.h 中使用“#define”这样的语句来定义宏定义实现的.在 FreeRTOS 的官方 demo 中,每个工程都有一个 FreeRTOS

  • python案例中Flask全局配置示例详解

    目录 WEB服务全局配置 Flask全局配置 before_request after_request Flask自定义中间件 WEB服务全局配置 在目前的开发过市场当中,有很多WEB服务框架,Flask只是其中之一,但是总体上来看,所有的WEB框架都是依据HTTP协议的逻辑从请求到响应设计的.固然有很多功能是独立的,但是也有一部分功能需要全局设定,比如安全校验,比如埋点日志,那么这里就用到了全局配置. 所谓的全局配置,就是在框架全局,请求前后,响应前后,设置的全局配置,比如登录校验,这个功能并

  • Spring Boot MyBatis 连接数据库配置示例

    最近比较忙,没来得及抽时间把MyBatis的集成发出来,其实mybatis官网在2015年11月底就已经发布了对SpringBoot集成的Release版本,示例代码:spring-boot_jb51.rar 前面对JPA和JDBC连接数据库做了说明,本文也是参考官方的代码做个总结. 先说个题外话,SpringBoot默认使用 org.apache.tomcat.jdbc.pool.DataSource 现在有个叫 HikariCP 的JDBC连接池组件,据说其性能比常用的 c3p0.tomca

  • yii2 数据库读写分离配置示例

    开始使用数据库首先需要配置数据库连接组件,通过添加 db 组件到应用配置实现("基础的" Web 应用是 config/web.PHP),DSN( Data Source Name )是数据源名称,用于指定数据库信息.如下所示: return [ // ... 'components' => [ // ... 'db' => [ 'class' => 'yii\db\Connection', 'dsn' => 'mysql:host=localhost;dbna

  • php使用pdo连接sqlite3的配置示例

    本文实例讲述了php使用pdo连接sqlite3的配置方法.分享给大家供大家参考,具体如下: 刚刚开始使用php+sqlite 的时候,一直以为自己使用的是sqlite3 ,其实不是,php从php5 >=5.3.0 的时候才开始默认支持sqlite3 可参照官方文档http://www.php.net/manual/zh/sqlite3.open.php 默认的方法接口: public void SQLite3::open ( string $filename [, int $flags =

随机推荐