在PIX525上配置PPTP ×××

一、环境：

　　PIX525　　1台　内网IP为10.65.155.0 255.255.128.0
                  外网IP为61.167.117.240 255.255.255.0

　　PC　　　　2台　均为各维修队电脑，IP为互联网地址

二、目的：

　　为远程用户提供PPTP***拨号访问内部网络资源

三、配置说明（ 只针对×××部分）

access-list 101 permit ip 10.65.128.0 255.255.128.0192.168.30.0 255.255.255.0
******定义***数据流

ip address outside 61.167.117.240 255.255.255.0
ip address inside 10.65.155.0 255.255.128.0

ip local pool ***-pool 192.168.30.1-192.168.30.254
******定义***用户进来后使用的地址池

 

global (outside) 1interface

******将内网地址翻译成防火墙外网口地址(一般不使用该命令，而是使用下面的命令，将内网IP翻译成另外一个IP)，如下：
global (outside) 1 61.167.117.238 netmask 255.255.255.0

******将内网地址翻译成外网地址61.167.117.238

nat (inside) 0 access-list 101　
******引用ACL ***，处理所有不作NAT的数据流。

nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 61.167.117.252
route inside 192.168.30.0 255.255.255.0 10.65.150.2 1

floodguard enable
sysopt connection permit-pptp
******定义pptp数据流是被允许的

vpdn group 1 accept dialin pptp
******允许pptp拨号进来

vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
******指定PPP协议的认证协议，可以是pap、chap、MS-chap。

vpdn group 1 ppp encryption mppe 40
******指定使用MS-CHAP协商的会话密钥的位数，

vpdn group 1 client configuration address local ***-pool
******给拨进来的***用户分配一个本地址池里的地址

vpdn group 1 pptp echo 60
******定义pptp的保持时间

vpdn group 1 client configuration dns 61.167.117.140
******定义DNS服务器

vpdn group 1 client authentication local
******认证使用本地设置的用户和密码

vpdn username cisco password cisco
******设置本地用户和密码

vpdn enable outside
******在outside口上启用vpdn

转载于:https://blog.51cto.com/sunrc/254765