Cisco PIX防火墙PPTP VPN.docx

Cisco PIX防火墙PPTP VPN.docx

《Cisco PIX防火墙PPTP VPN.docx》由会员分享，可在线阅读，更多相关《Cisco PIX防火墙PPTP VPN.docx（22页珍藏版）》请在冰豆网上搜索。

CiscoPIX防火墙PPTPVPN

CiscoPIX防火墙PPTPVPN相关配置

2008年01月17日星期四22:

51

一、基础知识：

　　PPTP：

点对点隧道协议

　　点对点隧道协议（PPTP：

PointtoPointTunnelingProtocol）是一种支持多协议虚拟专用网络的网络技术。

通过该协议，远程用户能够通过MicrosoftWindowsNT工作站、Windows95和Windows98操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过Internet安全链接到公司网络。

　　PPTP可以用于在IP网络上建立PPP会话隧道。

在这种配置下，PPTP隧道和PPP会话运行在两个相同的机器上，呼叫方充当PNS.PPTP使用客户机－服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。

PPTP作为一个呼叫控制和管理协议，它允许服务器控制来自PSTN或ISDN的拨入电路交换呼叫访问并初始化外部电路交换连接。

　　PPTP只能通过PAC和PNS来实施，其它系统没有必要知道PPTP.拨号网络可与PAC相连接而无需知道PPTP.标准的PPP客户机软件可继续在隧道PPP链接上操作。

　　PPTP使用GRE的扩展版本来传输用户PPP包。

这些增强允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。

这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。

PPTP没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。

　　二、配置

　　1、命令行方式直接在PIX上配置PPTP的VPN，即PIX作为PPTP方式VPDN的服务器

iplocalpoolpptp10.0.0.1-10.0.0.50

//定义一个pptp方式的vpdn拨入后获得的IP地址池，名字叫做pptp。

此处地址段的定义范围不要和拨入后内网其他计算机的IP冲突，并且要根据拨入用户的数量来定义地址池的大小

vpdngroupPPTP-VPDN-GROUPacceptdialinpptp

vpdngroupPPTP-VPDN-GROUPpppauthenticationpap

vpdngroupPPTP-VPDN-GROUPpppauthenticationchap

vpdngroupPPTP-VPDN-GROUPpppauthenticationmschap

vpdngroupPPTP-VPDN-GROUPpppencryptionmppeauto

//以上为配置pptp的vpdn组的相关属性

vpdngroupPPTP-VPDN-GROUPclientconfigurationaddresslocalpptp

//上面定义pptp的vpnd组使用本地地址池组pptp，为一开始定义的

vpdngroupPPTP-VPDN-GROUPpptpecho60

vpdngroupPPTP-VPDN-GROUPclientauthenticationlocal

//此处配置pptp的vpdn拨入用户口令认证为本地认证，当然也可以选择AAA服务器认证，本地认证属于比较方便的一种实现

vpdnusernametest1password*********

vpdnusernametest2password*********

//上面为定义本地用户认证的用户帐号和密码，可以定义多个

vpdnenableoutside

//在pix防火墙的outside口起用vpdn功能，也可以在其他接口上应用

　　2、使用pix防火墙内部的某个pptp的VPDN服务器作为专门的VPN服务器，只是在pix上开放相应的服务端口

　　pptp使用1723端口，而通常pix里面的服务器对外都是做的静态NAT转换，但是光双向开放1723端口仍旧无法建立pptp的vpn连接，那么对于pix6.3以上版本的pptp穿透可以用一条命令fixupprotocolpptp1723来解决这个问题。

pix默认密码是空en提示输入密码回车即可

configt下作shru

（config）＃nameife2dmzvsec50e2被命名为dmz安全级别为50

（config）＃shnameif浏览所有口的命名和安全级别

（config）＃？

查看命令

注：

tab键在pix下无效

（config）＃ipadddmzxxx.xxx.xxx.xxx255.255.255.0配置ip

（config）＃shipadd浏览端口的ip

（config）＃routeoutside00100.1.1.254设置默认路由

（config）＃shroute查看所有路由表

（config）＃clearoute清空所有路由表包括静态

（config）＃passcisco

（config）＃enablepasscisco设置tellnet密码

注：

如果用ssh登陆默认的用户名是pix密码就是所设置的

（config）＃writemem存盘

（config）＃wrerase删除

（config）＃reloud重启

注：

tellnet要从inside口进入

从outside口进入只能通过ssh数据加密网管

动态nat

（config）＃nat（inside）1192.168.1.0255.255.255.0

（config）＃glob（outside）1202.148.100.2-202.148.100.31是idinside和outsideid要相同

*（config）＃glob（outside）1interface该命令是pat.outside会从指定的outside端口出去

注：

如果outside指定地址不是outside端口网段也可以但是在外面要做好路由

两个outside可以同时存在内部先用制定的outsideip在用pat

（config）＃shnatcleanat可以清除nat

（config）＃shglobcleanat可以清楚nat

（config）＃shxlate浏览nat中转换的记录

（config）＃clearx清除转换池中记录

（config）＃shconn浏览状态信息（包括tcpip的连接）

（config）＃addess-1nonatperipxxx.xxx.xxx.xxx255.255.255.0any

（config）＃nat（inside）0access-1nonat这个nat始终最先出去

访问控制列表ACL

（config）＃access-1peripanyany

（config）＃access-1outpericmpanyany

（config）＃access-1outperhost1.1.1.1host2.2.2.2eqtelnet

（config）＃name1.1.1.1mail将1.1.1.1命名为mail

（config）＃shaccess-1

些acl和route很想象

应用到端口

access-goutininterfaceoutside

始终在in方向做不能在out方向做把out访问列表在outside端口的in方向应用

static

（config）＃static（inside,outside）100.1.1.125192.168.100.125将内部的192转换成100

（config）＃static（inside,outside）tcp100.1.1.1258080192.168.100.12580将外部8080映射为内部80端口

pat做法

（config）＃static（inside,outside）tcpinterface8000192.168.100.1280外部8000端口映射内部80端口

（config）＃static（inside,outside）100.1.1.233192.168.100.2331000500最大连接数半开连接数

1.将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

2.将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入

PIX系统；此时系统提示pixfirewall>。

3.输入命令：

enable,进入特权模式，此时系统提示为pixfirewall#。

4.输入命令：

configureterminal,对系统进行初始化设置。

5.配置以太口参数：

interfaceethernet0auto（auto选项表明系统自适应网卡类型）

interfaceethernet1auto

6.配置内外网卡的IP地址：

ipaddressinsideip_addressnetmask

ipaddressoutsideip_addressnetmask

7.指定外部地址范围：

global1ip_address-ip_address

8.指定要进行要转换的内部地址：

nat1ip_addressnetmask

9.设置指向内部网和外部网的缺省路由

routeinside00inside_default_router_ip_address

routeoutside00outside_default_router_ip_address

10.配置静态IP地址对映：

staticoutsideip_addressinsideip_address

11.设置某些控制选项：

conduitglobal_ipport[-port]protocolforeign_ip[netmask]

global_ip指的是要控制的地址

port指的是所作用的端口，其中0代表所有端口

protocol指的是连接协议，比如：

TCP、UDP等

foreign_ip表示可访问global_ip的外部ip，其中表示所有的ip。

12.设置telnet选项：

telnetlocal_ip[netmask]

local_ip表示被允许通过telnet访问到pix的ip地址（如果不设此项，

PIX的配

置只能由consle方式进行）。

13.将配置保存：

wrmem

14.几个常用的网络测试命令：

#ping

#showinterface查看端口状态

#showstatic查看静态地址映射

一个思科PIX防火墙的实际应用配置

2008年01月17日星期四22:

53

PIX：

一个合法IP完成inside、outside和dmz之间的访问

　　现有条件：

　　100M宽带接入，分配一个合法的IP（222.134.135.98）（只有1个静态IP是否够用？

）；Cisco防火墙PiX515e-r-DMZ-BUN1台（具有Inside、Outside、DMZ三个RJ45接口）！

　　请问能否实现以下功能：

　　1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。

　　2、外网的用户可以防问DMZ区的Web平台。

　　3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。

　　注：

DMZ区WEB服务器作为应用服务器，使用内网中的数据库服务器。

　　解决方案：

　　一、概述

　　本方案中，根据现有的设备，只要1个合法的IP地址（电信的IP地址好贵啊，1年租期10000元RMB），分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。

　　二、实施步骤

　　初始化Pix防火墙：

　　给每个边界接口分配一个名字，并指定安全级别

pix515e（config）#nameifethernet0outsidesecurity0

pix515e（config）#nameifethernet1insidesecurity100

pix515e（config）#nameifethernet2dmzsecurity50

　　给每个接口分配IP地址

pix515e（config）#ipaddressoutside222.134.135.98255.255.255.252pix515e（config）#ipaddressinside192.168.1.1255.255.255.0pix515e（config）#ipaddressdmz10.0.0.1255.255.255.0

　　为Pix防火墙每个接口定义一条静态或缺省路由

pix515e（config）#routeoutside0.0.0.00.0.0.0222.134.135.971

（通过IP地址为222.134.135.97的路由器路由所有的出站数据包／外部接口／）

pix515e（config）#routedmz10.0.0.0255.255.255.010.0.0.11

pix515e（config）#routeinside192.168.1.0255.255.255.0192.168.1.11

pix515e（config）#routeoutside222.134.135.96255.255.255.252222.134.135.981

　　配置Pix防火墙作为内部用户的DPCH服务器

pix515e（config）#dhcpdaddress192.168.1.2-192.168.1.100inside

pix515e（config）#dhcpddns202.102.152.3202.102.134.68

pix515e（config）#dhcpdenableinside

1、配置Pix防火墙来允许处于内部接口上的用户防问Internet和堡垒主机

　　同时允许DMZ接口上的主机可以防问Internet

　　通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。

（1）命令如下：

pix515e（config）#nat（inside）10192.168.1.0255.255.255.0

pix515e（config）#nat（dmz）1010.0.0.0255.255.255.0

pix515e（config）#global（outside）10interface

pix515e（config）#global（dmz）1010.0.0.10-10.0.0.254netmask255.255.255.0

（2）第一个nat命令允许在安全级别为100的内部接口上的主机，去连接那些安全级别比它低的接口上的主机。

在第一个命令中，低安全级别接口上的主机包括外部接口上的主机和非军事区／DMZ／上的主机。

第二个nat命令允许在安全级别为50的DMZ上的主机，去连接那些安全级别比它低的接口上的主机。

而在第二个命令中，低安全级别的接口只包含外部接口。

　　（3）因为全局地址池和nat（inside）命令都使用nat_id为10，所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。

因此，当内部接口上用户访问DMZ上的主机时，它的源地址被转换成global（dmz）命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。

当内部接口上的主机防问Internet时，它的源地址将被转换成global（outside）命令定义的222.134.135.98和一个源端口大于1024的结合。

　　（4）当DMZ上用户访问外部主机时，它的源地址被转换成global（outside）命令定义的222.134.135.98和一个源端口大于1024的结合。

Global（dmz）命令只在内部用户访问DMZ接口上的Web服务器时起作用。

　　（5）内部主机访问DMZ区的主机时，利用动态内部NAT——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池（10.0.0.10-10.0.0.254）。

内部主机和DMZ区的主机防问Internet时，利用PAT——1个IP地址和一个源端口号的结合，它将创建一个惟一的对话，即PAT全局地址（222.134.135.98）的源端口号对应着内部或DMZ区中的唯一的IP地址来标识唯一的对话。

PAT全局地址（222.134.135.98）的源端口号要大于1024.理论上，在使用PAT时，最多可以允许64000台内部主机使用一个外部IP地址，从实际环境中讲大约4000台内部的主机可以共同使用一个外部IP地址。

）

　　2、配置PIX防火墙允许外网的用户可以防问DMZ区的Web服务器

　　通过配置静态内部转换、ACL和端口重定向来实现外网对DMZ区的Web防问。

（1）命令如下

static（dmz,outside）tcpinterfacewww10.0.0.2wwwdnsnetmask255.255.255.25500

access-listoutside_access_inline1permittcpanyinterfaceoutside

access-group101ininterfaceoutside

（2）PIX防火墙静态PAT所使用的共享全局地址可以是一个惟一的地址，也可以是一个共享的出站PAT地址，还可以与外部接口共享一个地址。

　　（3）Static静态转换中“DNS”表示进行“DNS记录转换”

　　DNS记录转换应用在当内部的主机通过域名连接处于内部的服务器，并且用来进行域名解析的服务器处于PIX防火墙外部的情况下。

　　一个处于内网中的客户端通过域名向地址为10.0.0.2的Web服务器发送一个HTTP请示。

首先要通过PIX防火墙外部接口上的DNS服务器进行域名解析，因此客户端将DNS解析请求包发送到PIX防火墙上。

当PIX防火墙收到客户端的DNS解析请求包时，将IP头中不可路由的源地址进行转换，并且将这个DNS解析请求转发到处于PIX防火墙外部接口上的DNS服务器。

DNS服务器通过A-记录进行地址解析，并将结果返回到客户端。

当PIX防火墙收到DNS解析回复后，它不仅要将目的地址进行转换，而且还要将DNS解析回复中的地址替换成Web服务器的实际地址。

然后PIX防火墙将DNS解析发回客户端。

这样所产生的结果是，当客户端收到这个DNS解析回复，它会认为它与Web服务器处于内部网络中，可以通过DMZ接口直接到达。

　　3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器

　　通过静态内部转换可以实现DMZ区的主机对内网中的主机的防问。

（1）命令如下：

static（inside,dmz）10.0.0.9192.168.1.200netmask255.255.255.25500

access-listdmz_access_inline1permittcpanyany

access-groupdmz_access_inininterfacedmz

（2）静态内部地址转换可以让一台内部主机固定地使用PIX防火墙全局网络中的一个地址。

使用Static命令可以配置静态转换。

Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射（被称为静态转换槽或xlate），可以用来创建入站和出站之间的转换。

　　除了Static命令之外，还必须配置一个适当的访问控制列表（ACL），用来允许外部网络对内部服务器的入站访问

Ciscovpdnpppoe的一个配置案例

2008年01月17日星期四22:

44

名词解释：

VPDN

　　VPDN是基于拨号接入（PSTN、ISDN）的虚拟专用拨号网业务，可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。

　　VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。

VPN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。

　　VPDN技术适用于以下范围：

　　地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。

　　人员分散，需通过长途电信甚至国际长途手段联系的用户。

　　对线路的保密和可用性有一定要求的用户。

　　此外，通过VPDN技术，可实现对特定站点的封闭，可向小ISP和大集团用户提供一次、多次端口批发业务。

　　VPDN网络结构由局端（或称为中心端）和客户系统组成。

VPDN客户系统包括两部分：

企业端与远端。

通常企业端是企业的内部局域网，以专线方式接入UNINET；远端是拨号客户，以拨号方式访问企业内部局域网。

　　案例分析：

　　此案例为XX电信adslPPPoE接入，需要使用一个普通adslmodem和一台cisco2600路由器（双以太口），IOS12.2（15）T，能够实现局域网共享上网。

　　此案例配置共分7步：

　　第一步：

配置vpdn

　　vpdnenable（启用路由器的虚拟专用拨号网络——vpnd）

　　vpdn-groupoffice（建立一个vpdn组，）

　　request-dialin（初始化一个vpndtunnel，建立一个请求拨入的vpdn子组，）

　　protocolpppoe（vpdn子组使用pppoe建立会话隧道）

第二步：

配置路由器连接adslmodem的接口

　　interfaceEthernet1

　　noipaddress

　　pppoeenable允许以太接口运行pppoe

　　pppoe-clientdial-pool-number1将以太接口的pppoe拨号客户端加入拨号池1

　　第三步：

配置逻辑拨号接口：

　　interfaceDialer1

　　ipaddressnegotiated从adsl服务商动态协商得到ip地址

　　ipnatoutside为该接口启用NAT

　　encapsulationppp为该接口封装ppp协议

　　dialerpool1该接口使用1号拨号池进行拨号

　　dialer-group1该命令对于pppoe是意义不大的

　　pppauthenticationpapcallin启用ppppap验证

　　ppppapsent-usernamexxxxxxxpassword0yyyyyyy使用已经申请的用户名和口令

　　第四步：

配置内部网络接