使用PDM配置的兩個PIX之間的LAN到LAN VPN隧道示例

下載選項

  • PDF     (2.5 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (2.7 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (3.4 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 10 月 8 日
文件 ID:67929

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹使用Cisco PIX裝置管理器(PDM)在兩個PIX防火牆之間配置VPN隧道的過程。PDM是一種基於瀏覽器的配置工具,旨在幫助您使用GUI設定、配置和監控PIX防火牆。PIX防火牆位於兩個不同的站點。

使用IPsec形成隧道。IPsec是開放標準的組合,可在IPsec對等路由器之間提供資料機密性、資料完整性以及資料來源驗證。

必要條件

需求

本檔案沒有需求。

採用元件

本文檔中的資訊基於具有6.x和PDM 3.0版的Cisco Secure PIX 515E防火牆。

有關使用命令列介面(CLI)在兩個PIX裝置之間配置VPN隧道的配置示例,請參閱使用IPsec配置簡單PIX到PIX VPN隧道

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

網路圖表

本檔案會使用以下網路設定:

l2l-tunnel-using-pdm-a.gif

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

IPsec交涉可分為五個步驟,並包括兩個網際網路金鑰交換(IKE)階段。

  1. IPsec隧道由相關流量發起。流量在IPsec對等路由器之間傳輸時,會被視為有趣。

  2. 在IKE第1階段,IPsec對等體協商已建立的IKE安全關聯(SA)策略。對等點通過驗證後,會使用網際網路安全性關聯和金鑰管理通訊協定(ISAKMP)建立安全通道。

  3. 在IKE第2階段,IPsec對等使用經過身份驗證的安全隧道協商IPsec SA轉換。共用策略的協商確定如何建立IPsec隧道。

  4. 將建立IPsec隧道,並根據IPsec轉換集中配置的IPsec引數在IPsec對等體之間傳輸資料。

  5. IPsec隧道在IPsec SA被刪除或其生存期到期時終止。

    注意:如果兩個IKE階段上的SA在對等方上不匹配,則兩個PIX之間的IPsec協商失敗。

設定程式

除了PIX的CLI上的其他常規配置來通過Ethernet 0介面訪問它外,還可以使用http server enablehttp server <local_ip> <mask> <interface>命令,其中<local_ip><mask> 是安裝PDM的工作站的IP地址和掩碼。本文檔中的配置用於PIX-01。可以使用不同地址的相同步驟配置PIX-02。

請完成以下步驟:

  1. 開啟瀏覽器並鍵入https://<Inside_IP_Address_of_PIX>以訪問PDM中的PIX。

  2. 按一下Configuration並轉到VPN頁籤。

    l2l-tunnel-using-pdm-1.gif

  3. 按一下IPSec下的Transform Sets以建立轉換集。

    l2l-tunnel-using-pdm-2.gif

  4. 按一下Add,選擇所有適當的選項,然後按一下OK以建立新的轉換集。

    l2l-tunnel-using-pdm-3.gif

  5. 按一下IKE下的Pre-Shared Keys以配置預共用金鑰。

    l2l-tunnel-using-pdm-5.gif

  6. 按一下Add以新增新的預共用金鑰。

    l2l-tunnel-using-pdm-6.gif

    此視窗顯示金鑰,即隧道關聯的密碼。此值必須在通道的兩端相符。

    l2l-tunnel-using-pdm-7.gif

  7. 按一下IKE下的Policies配置策略。

    l2l-tunnel-using-pdm-8.gif

  8. 按一下「Add」,然後填寫相應的欄位。

    l2l-tunnel-using-pdm-9.gif

  9. 按一下OK新增新策略。

    l2l-tunnel-using-pdm-10.gif

  10. 選擇outside介面,按一下Enable,然後從Identity下拉選單中選擇address

    l2l-tunnel-using-pdm-11.gif

  11. 按一下IPSec下的IPSec Rules以建立IPsec規則。

    l2l-tunnel-using-pdm-12.gif

  12. 填寫相應欄位。

    l2l-tunnel-using-pdm-14.gif

  13. 在Tunnel Policy中按一下New。出現「Tunnel Policy(隧道策略)」視窗。填寫相應欄位。

    l2l-tunnel-using-pdm-15.gif

  14. 按一下OK檢視配置的IPsec規則。

  15. 按一下VPN Systems Options,然後選中Bypass access check for all IPSec traffic

    l2l-tunnel-using-pdm-16.gif

驗證

如果存在到對等體的相關流量,則在PIX-01和PIX-02之間建立隧道。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

檢視PDM中Home下的VPN Status(以紅色突出顯示),以驗證隧道的形成。

l2l-tunnel-using-pdm-17.gif

還可以在PDM中的「工具」(Tools)下使用CLI驗證隧道的形成。發出show crypto isakmp sa命令以檢查通道的形成,並發出show crypto ipsec sa命令以觀察封裝、加密等的資料包數量。

注意:除非在全域性配置模式下配置了management-access命令,否則無法ping通PIX的內部介面以形成隧道。

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
08-Oct-2018
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品