利用PIX与路由器做点对点VPN

    通过这次配置PIX与路由器做点对点VPN的测试，学到了一些东西，但也受到了很多教训，总体来说，收获比较大。总结下几点：

    存在的问题：

    一），思想上重视程度不够，想当然的以为VPN配置不是很复杂，以为看过几遍文档就能把VPN配置出来，对VPN的概念以及原理没有深究，对公司以前配置过的VPN没有细细的分析，配置的步骤不清不楚，只会照葫芦画瓢，没有从根本上掌握VPN技术。

    二），对技术的研究热情不够，第一次接触做点对点VPN，但是没有认真的研究学习VPN的的原理，导致在测试的过程中不能正确分析问题存在的原因，排错的能力几乎为零。

    三），准备工作不充分，虽然在网上查找到一些有用的资料，但是仅局限于资料本身的可用性，没有深层次从中考虑到配置VPN的一些原理，用法以及配置的具体步骤和方法。没有利用网上的资料给出测试的方案，画出测试的网络拓扑结构，在测试的过程中十分被动，仅靠网上的几篇文档资料，配置的时候无从下手。

    四），在测试过程中没有很好的利用现有资源，在遇到困难和问题时候没有很好的给出解决办法，比较过分依赖于同事或者朋友，依靠互联网寻找解决问题、独立思考的能力比较欠缺。

    一些经验：

    在配置点对点的VPN的过程中，大概理解了VPN配置的原理，包括加密方式，算法以及验证的模式等。

    一），初步理解了点对点VPN的一些原理，所谓点对点VPN，是两边同时配置成VPN网关，这样就可以使两个VPN网关设备后面的私网地址互相通信，并不需要转换成公网IP地址再进行访问，一是节省了IP地址，另一方面由于VPN的加密特性也确保了数据的安全性。

    二），点对点，意味着两边的配置应该完全一样（当然，除非一些自定义的词语以外），这次我做测试的设备一台是思科PIX 515E防火墙，另一个设备是思科2611XM路由器，并且在PIX的设备上已经配置了一个点对点VPN了。这就意味着有个参考的对象。

    三），在前期的准备工作中，应该使用一些常见的测试方法，比如 ping 命令：在做VPN的同时开启ping外网地址，这样可防止错误操作而导致正常使用的网络中断。还有如tracert命令等。

    四），在配置过程中，如何清晰的把握配置的原理及步骤是光键，网络的配置往往在一些小的细节方面非常重要，稍不注意全盘不通。在VPN的配置概念中，双方的加密方式，算法以及验证的方式都必须一样，lifetime也必须一样。这里就需要注意一些设备的默认值，比如说思科路由器默认的加密方式是DES，而大多数的设备配置的加密方式都是3DES，如果没注意则配置肯定不成功。

    虽然事情业已告一段落，但这件事让我受益颇多。

    一些测试的步骤：

    PIX配置：

    通常我们先配置访问控制列表，这里的ACL是应用在点对点VPN里面的，做两个设备后面发现的网段之间的访问控制。做为测试，开启的权限是比较大的，在生产环境中应该根据需求开启相应的端口。

    写一条访问控制列表：

access-list 203 permit ip 10.0.X.0 255.255.255.0 192.168.X.0 255.255.255.0
access-list 203 permit ip 192.168.X.0 255.255.255.0 10.0.X.0 255.255.255.0

    在访问控制列表之后就是配置加密图（在配置模式下进入）：

crypto ipsec transform-set testvpn esp-3des esp-md5-hmac

    配置IPSec变换集。先要定义双方交换的加密方式及算法，这里的testvpn只是一个定义的名称而已，可以自已定义，后面会调用它，而3des是被定义的加密方式，md5-hmac是被定义的hash算法。

    再定义动态加密图

crypto dynamic-map dynmap 10 set transform-set backup

    把动态加密图集加入到正规图集中

crypto map idcvpn 10 ipsec-isakmp dynamic dynmap

    这几条命令是加密图的必要参数，也就是调用前面的定义的加密方式testvpn，并且应用前面所写的ACL203，定义对端VPN网关地址120.56.147.112（都是在加密图模式下操作）

    crypto map idcvpn 1 ipsec-isakmp               创建加密图
    crypto map idcvpn 1 match address 203          引用加密访问列表确定受保护的流量
    crypto map idcvpn 1 set peer 120.56.147.112     指定对等体
    crypto map idcvpn 1 set transform-set testvpn    指定使用的变换集

    crypto map idcvpn interface outside
    在接口上指定要使用的加密图（outside指外网口）

    isakmp key ******** address 120.56.147.112 netmask 255.255.255.255
    指定与对方交换的KEY

[1] [2] 下一页

【责编:Zenghui】