在静态寻址IOS路由器和动态地寻址PIX之间的动态IPSec与NAT的配置示例
Cisco ASA 5500 系列版本 7.x 运行类似 PIX 版本 7.x 的软件版本。本文档中的配置适用于这两个产品系列。
在 PIX 上,access-list 和 nat 0 命令协同工作。当 10.1.1.0 网络上的用户访问 10.2.1.0 网络时,将使用访问列表允许 10.1.1.0 网络数据流在没有 NAT 的情况下进行加密。在路由器上,将使用 access-list 命令允许 10.2.1.0 网络数据流在没有 NAT 的情况下进行加密。然而,当同样用户去别处(类似互联网)时,他们翻译对外部接口IP地址通过端口地址转换(PAT)。
要使通过隧道的数据流不经过 PAT,而使到达 Internet 的数据流经过 PAT,则必须在 PIX 安全设备上使用以下配置命令。
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
pix 7.0以上版本
route配置
-
清除安全关联 (SA)
-
-
在 PIX 的特权模式下使用以下这些命令:
-
-
clear [crypto] ipsec sa - 删除活动 IPsec SA。关键字 crypto 是可选的。
-
-
clear [crypto] isakmp sa - 删除活动 IKE SA。关键字 crypto 是可选的。
-
show crypto isakmp sa
-
show crypto ipsec sa
-
PIX 安全设备 - debug 输出
-
-
debug crypto ipsec 7 - 显示第 2 阶段的 IPsec 协商。
-
-
debug crypto isakmp 7 - 显示第 1 阶段的 ISAKMP 协商。
-
-
远程 IOS 路由器 - debug 输出
-
-
debug crypto ipsec - 显示第 2 阶段的 IPsec 协商。
-
-
debug crypto isakmp - 显示第 1 阶段的 ISAKMP 协商。
阅读(1156) | 评论(0) | 转发(0) |