未经同意,严禁转载,否则作侵权论!
 
通过这次配置PIX与路由器做点对点×××的测试,学到了一些东西,但也受到了很多教训,总体来说,收获比较大.总结下几点:
 
存在的问题:
),思想上重视程度不够,想当然的以为×××配置不是很复杂,以为看过几遍文档就能把×××配置出来,×××的概念以及原理没有深究,对公司以前配置过的×××没有细细的分析,配置的步骤不清不楚,只会照葫芦画瓢,没有从根本上掌握×××技术.
),对技术的研究热情不够,第一次接触做点对点×××,但是没有认真的研究学习×××的的原理,导致在测试的过程中不能正确分析问题存在的原因,排错的能力几乎为零.
),准备工作不充分,虽然在网上查找到一些有用的资料,但是仅局限于资料本身的可用性,没有深层次从中考虑到配置×××的一些原理,用法以及配置的具体步骤和方法.没有利用网上的资料给出测试的方案,画出测试的网络拓扑结构,在测试的过程中十分被动,仅靠网上的几篇文档资料,配置的时候无从下手.
),在测试过程中没有很好的利用现有资源,在遇到困难和问题时候没有很好的给出解决办法,比较过分依赖于同事或者朋友,依靠互联网寻找解决问题、独立思考的能力比较欠缺.
 
一些经验:
在配置点对点的×××的过程中,大概理解了×××配置的原理,包括加密方式,算法以及验证的模式等.
),初步理解了点对点×××的一些原理,所谓点对点×××,是两边同时配置成×××网关,这样就可以使两个×××网关设备后面的私网地址互相通信,并不需要转换成公网IP地址再进行访问,一是节省了IP地址,另一方面由于×××的加密特性也确保了数据的安全性.
),点对点,意味着两边的配置应该完全一样(当然,除非一些自定义的词语以外),这次我做测试的设备一台是思科PIX 515E防火墙,另一个设备是思科2611XM路由器,并且在PIX的设备上已经配置了一个点对点×××.这就意味着有个参考的对象.
),在前期的准备工作中,应该使用一些常见的测试方法,比如 ping 命令:在做×××的同时开启ping外网地址,这样可防止错误操作而导致正常使用的网络中断.还有如tracert命令等.
),在配置过程中,如何清晰的把握配置的原理及步骤是光键,网络的配置往往在一些小的细节方面非常重要,稍不注意全盘不通.×××的配置概念中,双方的加密方式,算法以及验证的方式都必须一样,lifetime也必须一样.这里就需要注意一些设备的默认值,比如说思科路由器默认的加密方式是DES,而大多数的设备配置的加密方式都是3DES,如果没注意则配置肯定不成功.
 
虽然事情业已告一段落,但这件事让我受益颇多.
 
一些测试的步骤:
利用PIX与路由器做点对点×××_第1张图片
PIX配置:
 
通常我们先配置访问控制列表,这里的ACL是应用在点对点×××里面的,做两个设备后面发现的网段之间的访问控制.做为测试,开启的权限是比较大的,在生产环境中应该根据需求开启相应的端口.
 
写一条访问控制列表:
access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0
access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0
 
在访问控制列表之后就是配置加密图(在配置模式下进入):
crypto ipsec transform-set test*** esp-3des esp-md5-hmac
配置IPSec变换集.先要定义双方交换的加密方式及算法,这里的test***只是一个定义的名称而已,可以自已定义,后面会调用它,3des是被定义的加密方式,md5-hmac是被定义的hash算法.
 
再定义动态加密图
crypto dynamic-map dynmap 10 set transform-set backup
把动态加密图集加入到正规图集中
crypto map idc*** 10 ipsec-isakmp dynamic dynmap
 
这几条命令是加密图的必要参数,也就是调用前面的定义的加密方式test***,并且应用前面所写的ACL203,定义对端×××网关地址120.56.147.112(都是在加密图模式下操作)
crypto map idc*** 1 ipsec-isakmp               创建加密图
crypto map idc*** 1 match address 203          引用加密访问列表确定受保护的流量
crypto map idc*** 1 set peer 120.56.147.112     指定对等体
crypto map idc*** 1 set transform-set test***    指定使用的变换集
 
crypto map idc*** interface outside
在接口上指定要使用的加密图(outside指外网口)
 
isakmp key ******** address 120.56.147.112 netmask 255.255.255.255
指定与对方交换的KEY
 
创建IKE策略:
定义认证方法为预共享密鈅
isakmp policy 1 authentication pre-share
定义认证方法为预加密方式,以及算法,,生命周期(默认是86400)
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
 
在接口上应用IKE策略(outside指外网口)
isakmp identity address
isakmp enable outside
 
这里记得还要补上一条:因为点对点的×××之间的网络互相访问的时候是不做NAT出去的,所以要加上一条ACL阻止这两个网络之间访问是不能做NAT出去.
access-list nonat permit ip 10.0.X.0 255.255.240.0 192.168.X.0 255.255.255.0
nat (inside) 0 access-list nonat
 
路由器上的配置:
 
原理同PIX的配置是一样的,但是在命令以及应用上有些稍的差别:
 
先建立访问控制列表130,为下面的×××加密调用:
access-list 130 permit ip 10.0.X.0 0.0.0 .255 192.168.X.0 0.0.0.255
access-list 130 permit ip 192.168.X.0 0.0.0 .255 10.0.X.0 0.0.0.255
 
在配置模式下:
crypto isakmp policy 1                                  创建IKE策略
 hash md5                                            定义散列算法
 authentication pre-share                               定义预认证方法为预共享密鈅
crypto isakmp key ******** address 210.211.198.14         配置预共享密鈅
 
crypto ipsec transform-set sharks esp-3des esp-md5-hmac  配置IPSec变换集
 
crypto map test*** 1 ipsec-isakmp                 创建加密图
 set peer 210.211.198.14                         指定对等体
 set transform-set sharks                         指定变换集
 match address 130                              引用加密访问列表确定受保护的流量
 
在接下模式下,应用加密图:
interface FastEthernet0/0
crypto map test***
 
这里还需要注意一点是路由器内网段不做NAT出去:
ip nat pool internet 120.56.147.112 120.56.147.112 netmask 255.255.255.252
ip nat inside source route-map nonat pool internet overload
 
route-map nonat permit 10
 match ip address 130
 
接口上应用NAT:
ip nat outside   在外网口应用NAT
ip nat inside    在内网口应用NAT
 
 
    当然这只是一部分的测试步骤,也是最基本的site to site ×××的配置方法,这次是跟美国的一个客户做这和PIX对路由器做×××,而我们公司本来已经在两台PIX之间已经做好了site to site ×××,所以跟上面的配置还是有些区别的.
    另外一点是,老外采用的×××方式跟我们平常做的还不一样,他们喜欢用一个公网IP来代替内部一个网段来做这种site to site ×××,这无形中又产生了些微的差别.但总体的配置步骤以及方式方法都还是一样的.