PIX 上实现×××IPSec)的详细步骤 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />




打包下载:PIX上实现×××IPSec)的详细步骤
PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
一、为IPSec做准备——IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKEIKE阶段1,或者主模式)策略;
步骤2:确定IPSecIKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用”write terminal””show isakmp””show isakmp policy””show crypto map “命令及其他”show”命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
二、配置IKE—— 配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
步骤1:用”isakmp enable”命令来启用或关闭IKE
步骤2:用”isakmp policy”命令创建IKE策略;
步骤3:用”isakmp key”命令和相关命令来配置预共享密钥;
步骤4:用”show isakmp [policy]”命令来验证IKE的配置。

三、配置IPSec——IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
步骤1:用access-list命令来配置加密用访问控制列表;
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr dest_mask [operator prot [port]]

步骤2:用crypto ipsec transform-set 命令配置变换集;
例如:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上;
步骤6:用各种可用的show命令来验证IPSec的配置。

四、测试和验证IPSec——该任务涉及到使用"show " "debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。

样例:

PIX 1的配置:
!configure the IP address for each PIX Firewall interface
ip address outside 192.168.1.1 255.255.255.0
ip address inside <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
!creates a global pooll on the outside interface,enables NAT.
!windows NT server
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
!Crypto access list specifiles between the global and the inside
!server beind PIX Firewalls is encrypted ,The source
!and destination IP address are the global IP addresses of the statics.
Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
!The conduit permit ICMP and web access for testing.
Conduit permit icmp any any
Conduit permit tcp host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
!Enable IPSec to bypass access litst,access ,and confuit restrictions
syspot connnection permit ipsec
!Defines a crypto map transform set to user esp-des
crypto ipsec transform-set pix2 esp-des
crypto map peer2 10 ipsec-isakmp!

省略….

 JJ比赛是以竞技、斗智为核心的×××平台,目前有JJ斗地主、JJ麻将二款游戏,32种比赛,四大赛制。体验×××上千人pk,让您感受到从未有过的刺激。在这里,如果您技术还不错,各类实物大奖、荣誉在等着您来抢,如果您只是来休闲娱乐下,那么我们准备了很多Q币、手机点卡、游戏点卡,欢迎随时过来拿!

JJ比赛斗地主,Q币、手机充值卡、游戏点卡任你赢!注册账号加入战斗吧!
http://www.jjmatch.com/indexTG.html?promoterid=102847711
JJ 比赛斗地主,体验与千人混战的竞技斗地主!
http://www.jjmatch.com/indexTG.html?promoterid=102847711
JJ比赛斗地主,高手间的较量,斗地主精英牌照你拿了吗??
http://www.jjmatch.com/indexTG.html?promoterid=102847711
JJ比赛麻将,边搓麻边赢Q币、游戏点卡,快来体验吧!
http://www.jjmatch.com/indexTG.html?promoterid=102847711
报名JJ比赛麻将,体验乡试考状元比赛,金榜题名还是名落孙山?由你牌技所决定!更有
丰富奖品等你拿!http://www.jjmatch.com/indexTG.html?promoterid=102847711
JJ麻将上线了,参加JJ科举考试,中竞技世界MVP状元秀,这里只有高手,你敢来吗??
http://www.jjmatch.com/indexTG.html?promoterid=102847711
 
jj斗地主客户端绿色版下载地:http://dlcnc.jjmatch.com/JJMatch_NoSound_Setup.rar