本文是Adreaman根据思科PIX6.3配置文档手册中的VPDN功能介绍整理出来的,介绍思科PIX(软件版本6.3)防火墙中PPPoE/L2TP/PPTP这三种VPDN特性的配置步骤。思科PIX防火墙支持作为PPPoE客户端拨号,支持作为L2TP和PPTP服务器接受拨入,并且,仅支持L2TP over IPsec方式拨入,不支持纯L2TP方式拨入。
一、PPPoE的配置
1.1 定义一个PPPoE拨出服务的VPDN组
vpdn group request dialout pppoe
其中 name为用户自定义的该VPDN组的名称标识,最大长度为63字节。
1.1 定义一个PPPoE拨出服务的VPDN组
vpdn group
其中 name为用户自定义的该VPDN组的名称标识,最大长度为63字节。
1.2 指定PPP认证方式
vpdn group ppp authentication pap|chap|mschap
其中mschap仅支持1.0版本。PPP协商的认证阶段将使用此处指定的认证协议来进行认证。对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
vpdn group
其中mschap仅支持1.0版本。PPP协商的认证阶段将使用此处指定的认证协议来进行认证。对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
1.3 输入拨号用户的用户名
vpdn group group_name localname username
其中 username为发起拨号请求的用户名称,即拨入ISP的用户名。该配置的主要作用是将拨号用户与该VPDN组关联起来。
vpdn group group_name localname username
其中 username为发起拨号请求的用户名称,即拨入ISP的用户名。该配置的主要作用是将拨号用户与该VPDN组关联起来。
1.4 输入拨号用户名和密码
vpdn username username password pass [store-local]
其中username和pass即为用户名和密码。此命令的作用是为之前指定的用户设置密码。store-local选项的作用是将密码存储在NVRAM中,而不是存储在配置中。此store-local选项应该是仅为PPPoE使用,PPTP和L2TP不使用此参数。
vpdn username username password pass [store-local]
其中username和pass即为用户名和密码。此命令的作用是为之前指定的用户设置密码。store-local选项的作用是将密码存储在NVRAM中,而不是存储在配置中。此store-local选项应该是仅为PPPoE使用,PPTP和L2TP不使用此参数。
1.5 重启PPPoE客户端服务。
ip address ifName pppoe [setroute]
仅支持在outside口启动。不支持和DHCP一起工作,因为PPPoE获取IP地址。setroute选项的作用是如果没有默认路由,则将根据拨入PPPoE服务器的地址创建默认路由。MTU将被自动设置为1492。
ip address ifName pppoe [setroute]
仅支持在outside口启动。不支持和DHCP一起工作,因为PPPoE获取IP地址。setroute选项的作用是如果没有默认路由,则将根据拨入PPPoE服务器的地址创建默认路由。MTU将被自动设置为1492。
1.6 启用PPPoE客户端,但是不使用PPPoE服务器分配的IP地址,由用户指定IP和掩码。
ip address ifname ipaddress mask pppoe
ifname、ipaddress、mask为用户配置的参数。
ip address ifname ipaddress mask pppoe
ifname、ipaddress、mask为用户配置的参数。
1.7 show命令。
show ip address outside pppoe 文档没有详细介绍,思科PIX模拟器有此命令。
show vpdn tunnel [l2tp|pptp|pppoe] [id tnl_id | packets | state | summary | transport]
show vpdn session [l2tp|pptp|pppoe] [id sess_id | packets | state| window]
这两条命令可以显示拨号的session信息和tunnel信息,
show ip address outside pppoe 文档没有详细介绍,思科PIX模拟器有此命令。
show vpdn tunnel [l2tp|pptp|pppoe] [id tnl_id | packets | state | summary | transport]
show vpdn session [l2tp|pptp|pppoe] [id sess_id | packets | state| window]
这两条命令可以显示拨号的session信息和tunnel信息,
1.8 debug命令。
“[no] debug pppoe event | error | packet”
“[no] debug pppoe event | error | packet”
6.1.9 DHCP相关命令
dhcpd auto_config [client_ifx_name]
令dhcp直接使用PPP协商的DNS、WINS信息。
dhcpd auto_config [client_ifx_name]
令dhcp直接使用PPP协商的DNS、WINS信息。
二、L2TP的配置
2.1 首先需要将IPsec配置好,并将其配置为传输模式。
crypto ipsec transform-set trans_name mode transport
PIX仅作为LNS接受Windows的L2TP拨入,windows的IPsec使用传输模式。
2.1 首先需要将IPsec配置好,并将其配置为传输模式。
crypto ipsec transform-set trans_name mode transport
PIX仅作为LNS接受Windows的L2TP拨入,windows的IPsec使用传输模式。
2.2 接受所有的L2TP和Ipsec报文,这些报文不经过acl、conduit。
sysopt connection permit-ipsec
sysopt connection permit-l2tp
sysopt connection permit-ipsec
sysopt connection permit-l2tp
2.3 定义一个L2TP拨入服务的VPDN组。
vpdn group group_name accept dial-in l2tp
vpdn group group_name accept dial-in l2tp
2.4 定义PPP使用的认证方式。
vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
2.5 指定为PPP客户端分配地址的地址池范围。
vpdn group group_name client configuration address local address_pool_name
其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask] ” 配置好的一个地址池的名称。
vpdn group group_name client configuration address local address_pool_name
其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask] ” 配置好的一个地址池的名称。
2.6 指定为PPP客户端分配DNS服务地址。
vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。
vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。
2.7 指定为PPP客户端分配WINS服务器地址。
vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。
vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。
2.8 指定客户认证方式。
vpdn group group_name client authentication aaa aaa_server_tag 指定为AAA服务器认证
or
vpdn group group_name client authentication local 指定为PIX本地认证
其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts
[no] aaa-server server_tag protocol auth_protocol
vpdn group group_name client authentication aaa aaa_server_tag 指定为AAA服务器认证
or
vpdn group group_name client authentication local 指定为PIX本地认证
其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts
[no] aaa-server server_tag protocol auth_protocol
2.9 指定客户记账使用的AAA服务器
vpdn group group_name client accounting aaa_server_tag
vpdn group group_name client accounting aaa_server_tag
2.10 指定为客户做本地认证时使用的用户名及密码
vpdn username username password password
vpdn username username password password
2.11 指定L2TP的hello报文间隔时间
vpdn group_name l2tp tunnel hello hello timeout 默认间隔时间为60秒,范围10-300。
vpdn group_name l2tp tunnel hello hello timeout 默认间隔时间为60秒,范围10-300。
2.12 在接口上使能拨号
vpdn enable ifname 仅支持inbound连接。
vpdn enable ifname 仅支持inbound连接。
三、PPTP的配置
3.1 接受所有的L2TP和Ipsec报文,这些报文不经过acl、conduit。
sysopt connection permit-pptp
3.1 接受所有的L2TP和Ipsec报文,这些报文不经过acl、conduit。
sysopt connection permit-pptp
3.2 定义一个PPTP拨入服务的VPDN组。
vpdn group group_name accept dial-in pptp
vpdn group group_name accept dial-in pptp
3.3 定义PPP使用的认证方式。
vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
vpdn group group_name ppp authentication pap/chap/mschap
对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。
3.4 指定为PPP客户端分配地址的地址池范围。
vpdn group group_name client configuration address local address_pool_name
其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask]“配置好的一个地址池的名称。
vpdn group group_name client configuration address local address_pool_name
其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask]“配置好的一个地址池的名称。
3.5 指定为PPP客户端分配的DNS服务地址。
vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。
vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
最多可以同时配置两个。
3.6 指定为PPP客户端分配WINS服务器地址。
vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。
vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
最多可以同时配置两个。
3.7 指定客户认证方式。
vpdn group group_name client authentication aaa aaa_server_tag 指定为AAA服务器认证
or
vpdn group group_name client authentication local 指定为PIX本地认证
其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts
[no] aaa-server server_tag protocol auth_protocol
vpdn group group_name client authentication aaa aaa_server_tag 指定为AAA服务器认证
or
vpdn group group_name client authentication local 指定为PIX本地认证
其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
[no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
[no] aaa-server server_tag max-failed-attempts
[no] aaa-server server_tag protocol auth_protocol
3.8 指定客户记账使用的AAA服务器
vpdn group group_name client accounting aaa_server_tag
vpdn group group_name client accounting aaa_server_tag
3.9 指定为客户做本地认证时使用的用户名及密码
vpdn username username password password
vpdn username username password password
3.10 指定PPP使用微软MPPE加密
vpdn group group_name ppp encryption mppe {40 | 128| auto} [required] required选项表示要求MPPE加密为必选步骤,如MPPE加密协商未成功则连接无法建立。
vpdn group group_name ppp encryption mppe {40 | 128| auto} [required] required选项表示要求MPPE加密为必选步骤,如MPPE加密协商未成功则连接无法建立。
3.11 在接口上使能拨号
vpdn enable ifname 仅支持inbound连接。
配置PPTP的注意点:如果使用了MPPE加密,则必须使用MSCHAP认证。如果”vpdn group group_name client authentication”指定了AAA服务器方式认证,则必须使用支持MSCHAP_MPPE_KEY属性的RADIUS服务器做AAA认证。
vpdn enable ifname 仅支持inbound连接。
配置PPTP的注意点:如果使用了MPPE加密,则必须使用MSCHAP认证。如果”vpdn group group_name client authentication”指定了AAA服务器方式认证,则必须使用支持MSCHAP_MPPE_KEY属性的RADIUS服务器做AAA认证。