cisco IP sec的VPN典型配置

---

IP sec的VPN配置 左边的router：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 202.96.15.88

crypto ipsectransform-set rtpset esp-des esp-md5-hmac

crypto map rtp 1 ipsec-isakmp set peer 202.96.15.88 set transform-set rtpset match address 102

interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ip nat inside

ameif ethernet1 inside sercurity100
Nameif ethernet0 outside sercurity0
enable password ciscopix
passwd ciscopix
hostname nmcpix

write erase

interface ethernet inside auto 设置内部接口类型
interface ethernet outside auto 设置外部接口类型
ip address inside 10.78.7.1 255.255.255.0 设置内部接口地址
ip address outside 10.78.1.1 255.255.255.0 设置外部接口地址

nat 1 0.0.0.0 指定所有用户都可向外连接

static 202.101.2.5 10.172.44.3 省WWW服务器静态地址镜像
conduit 10.78.1.8 0 tcp 0.0.0.0 0.0.0.0 开放WWW服务器所有tcp服务端口
conduit 10.78.1.8 0 udp 0.0.0.0 0.0.0.0 开放WWW服务器所有udp服务端口
conduit permit icmp any any

route inside 0.0.0.0 0.0.0.0 10.78.7.1 缺省网关指向cisco2611
http 0.0.0.0 0.0.0.0 允许所有用户以http方式管理PIX
telnet 0.0.0.0 0.0.0.0 允许所有用户以telnet方式管理PIX
telnet timeout 15 telnet延迟时间

静态端口重定向(Port Redirection with Statics)

在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，
而是通过端口重定向，使得内部服务器很安全。

命令格式：

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用户直接访问地址222.20.16.99 telnet端口，
通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。

PIX525(config)

#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.99 FTP，
通过PIX重定向到内部192.168.1.3的FTP Server。

PIX525(config)

#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.208 www(即80端口)，
通过PIX重定向到内部192.168.123的主机的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.201 HTTP(8080端口)，
通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。

PIX525(config)

#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.5 smtp(25端口)，
通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

低端路由器在IOS丢失以后恢复IOS的方法

在ROM Monitor 状态升级2600、17等系列路由器 如果因为非正常原因导致路由器的IOS丢失，可用如下方式升级 ：
rommon1>IP_address=172.15.19.11
rommon2>IP_Subnet_mask=255.255.255.0
rommon3>Default_gateway=172.15.19.1
rommon4>Tftp_server=172.15.20.10(存放IOS文件的主机的IP地址)
rommon5>Tftp_file=c2600-I-mz（IOS 文件名）
rommon6>tftpdnld
基本上你对它的提问都回答YES就可以了