Cisco 的解决方案中PIX VPN的两个问题

首页	安全动态	IT新闻	安全人物	本站动态	漏洞公告	病毒警报	木马预警
流氓软件	漏洞分析	入侵检测	升级补丁	安全配置	信道安全	设备安全	协议安全
WEB安全	病毒分析	木马研究	脚本注入	后门探讨	技术应用	数据安全	企业专区

收藏本站

设为首页



	会员登录：

站内搜索：新闻中心系统安全网络安全安全技术下载中心

Cisco 的解决方案中PIX VPN的两个问题

作者：不详文章来源：华盟点击数：更新时间：2007-4-30 11:28:16

no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　crypto ipsec transform-set test esp-des esp-md5-hmac
　　crypto dynamic-map dynmap 10 set transform-set test
　　crypto map testvpn 10 ipsec-isakmp dynamic dynmap
　　crypto map testvpn client configuration address initiate
　　crypto map testvpn client configuration address respond
　　crypto map testvpn client authentication RADIUS
　　crypto map testvpn interface outside
　　isakmp enable outside
　　isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
　　isakmp identity address
　　isakmp nat-traversal 120
　　isakmp policy 10 authentication pre-share
　　isakmp policy 10 encryption des
　　isakmp policy 10 hash md5
　　isakmp policy 10 group 2
　　isakmp policy 10 lifetime 86400
　　vpngroup vpn1 address-pool pool1
　　vpngroup vpn1 dns-server 202.100.100.198
　　vpngroup vpn1 default-domain test.cn
　　vpngroup vpn1 split-tunnel 101
　　vpngroup vpn1 idle-time 1800
　　vpngroup vpn1 password ********
　　vpngroup vpn2 address-pool pool2
　　vpngroup vpn2 dns-server 202.100.100.198
　　vpngroup vpn2 default-domain test.cn
　　vpngroup vpn2 split-tunnel 102
　　vpngroup vpn2 idle-time 1800
　　vpngroup vpn2 password ********
　　telnet 10.1.3.0 255.255.255.0 inside
　　telnet timeout 5
　　ssh timeout 5
　　console timeout 0
　　terminal width 80
　　Cryptochecksum:bbafa6e012639b4db524831263ba7b86
　　: end
　　
　　注意Cisco VPN Client 低版本（如3.5）在上述环境中使用有问题，须要使用较新的版本，如4.0版本。配置方法为选中VPN连接属性中的“Enable Transparent Tunneling"。
　　
　　在以上配置中,PIX上有两个vpngroup，均通过本机的地址池分配地址,不同组用户可以访问不同的资源。用户使用不同的Pre-shared key连接PIX,确定其所属的组。用户名、密码则由PIX提交给ACS做集中验证。由于ACS无法限定某个用户只能以某个组的身份登录，如果A组的成员知道了B组的Pre-shared key, 他可以使用自己的用户名、密码登录到B组。为了防止这种情况发生,可以在ACS上为两个组的用户指定不同的ACL，使得即使用户以别的组的身份登录，也无法访问受限资源。
　　
　　问题二的拓扑如下：
　　Lan1-----PIX525-----Internet------PIX506E------Lan2
　　
　　在该环境中，Lan2用户可以通过PIX 506E上网，但不能与PIX 525建立VPN连接。经观察发现，Lan2用户如果不通过PIX506E防火墙可以与PIX 525建立VPN连接。如果PIX 506E为Lan2中的某台PC做了静态NAT, 该PC也可以与PIX 525建立VPN连接。
　　
　　解决过程：
　　show version 发现PIX 506E不支持VPN-DES加密特性：
　　
　　Licensed Features:
　　Failover: Disabled
　　VPN-DES: Disabled
　　VPN-3DES-AES: Disabled
　　
　　PIX 的VPN-DES特性是免费的，如果出厂时该特性是Disabled的，要到网址http://www.cisco.com/kobayashi/sw-center/ciscosecure/pix.shtml(需要CCO帐号)点击“*FREE* Register for PIX 56-bit IPSEC Software Feature Key”进行注册获取新的Acitvation Key。高版本软件可以用命令activation-key 直接输入新的key,低版本的升级方法可以参考：http://mize.netbuddy.org/021213.html。

上一页 [1] [2]

文章录入：移山愚公责任编辑：洋葱头

上一篇文章：以点带面全面的网吧路由器解决方案

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

以点带面全面的网吧路由

\| 设为首页 \| 加入收藏 \| 联系站长 \| 友情链接 \| 版权申明 \|
站长邮箱：webmaster@anquan365.com 联系电话：86-10-67634029 Copyright © 2006-2008　www.anquan365.com　北京华安普特网络科技有限公司版权所有