思科PIX防火墙VPDN拨号配置命令整理 (PIX6.3版本,包括PPPoE/L2TP/PPTP)

本文是Adreaman根据思科PIX6.3配置文档手册中的VPDN功能介绍整理出来的,介绍思科PIX(软件版本6.3)防火墙中PPPoE/L2TP/PPTP这三种VPDN特性的配置步骤。思科PIX防火墙支持作为PPPoE客户端拨号,支持作为L2TP和PPTP服务器接受拨入,并且,仅支持L2TP over IPsec方式拨入,不支持纯L2TP方式拨入。


  • 一、PPPoE的配置
  • 1.1 定义一个PPPoE拨出服务的VPDN组
  • vpdn group <name> request dialout pppoe
    其中 name为用户自定义的该VPDN组的名称标识,最大长度为63字节。

  • 1.2 指定PPP认证方式
  • vpdn group <name> ppp authentication pap|chap|mschap
    其中mschap仅支持1.0版本。PPP协商的认证阶段将使用此处指定的认证协议来进行认证。对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。

  • 1.3 输入拨号用户的用户名
  • vpdn group group_name localname username
    其中 username为发起拨号请求的用户名称,即拨入ISP的用户名。该配置的主要作用是将拨号用户与该VPDN组关联起来。

  • 1.4 输入拨号用户名和密码
  • vpdn username username password pass [store-local]
    其中username和pass即为用户名和密码。此命令的作用是为之前指定的用户设置密码。store-local选项的作用是将密码存储在NVRAM中,而不是存储在配置中。此store-local选项应该是仅为PPPoE使用,PPTP和L2TP不使用此参数。

  • 1.5 重启PPPoE客户端服务。
  • ip address ifName pppoe [setroute]
    仅支持在outside口启动。不支持和DHCP一起工作,因为PPPoE获取IP地址。setroute选项的作用是如果没有默认路由,则将根据拨入PPPoE服务器的地址创建默认路由。MTU将被自动设置为1492。

  • 1.6 启用PPPoE客户端,但是不使用PPPoE服务器分配的IP地址,由用户指定IP和掩码。
  • ip address ifname ipaddress mask pppoe
    ifname、ipaddress、mask为用户配置的参数。

  • 1.7 show命令。
  • show ip address outside pppoe? 文档没有详细介绍,思科PIX模拟器有此命令。
    show vpdn tunnel [l2tp|pptp|pppoe] [id tnl_id | packets | state | summary | transport]
    show vpdn session [l2tp|pptp|pppoe] [id sess_id | packets | state| window]
    这两条命令可以显示拨号的session信息和tunnel信息,

  • 1.8 debug命令。
  • “[no] debug pppoe event | error | packet”

  • 6.1.9 DHCP相关命令
  • dhcpd auto_config [client_ifx_name]
    令dhcp直接使用PPP协商的DNS、WINS信息。


  • 二、L2TP的配置
  • 2.1 首先需要将IPsec配置好,并将其配置为传输模式。
  • crypto ipsec transform-set trans_name mode transport
    PIX仅作为LNS接受Windows的L2TP拨入,windows的IPsec使用传输模式。

  • 2.2 接受所有的L2TP和Ipsec报文,这些报文不经过acl、conduit。
  • sysopt connection permit-ipsec
    sysopt connection permit-l2tp

  • 2.3 定义一个L2TP拨入服务的VPDN组。
  • vpdn group group_name accept dial-in l2tp

  • 2.4 定义PPP使用的认证方式。
  • vpdn group group_name ppp authentication pap/chap/mschap
    对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。

  • 2.5 指定为PPP客户端分配地址的地址池范围。
  • vpdn group group_name client configuration address local address_pool_name
    其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask] ” 配置好的一个地址池的名称。

  • 2.6 指定为PPP客户端分配DNS服务地址。
  • vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
    最多可以同时配置两个。

  • 2.7 指定为PPP客户端分配WINS服务器地址。
  • vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
    最多可以同时配置两个。

  • 2.8 指定客户认证方式。
  • vpdn group group_name client authentication aaa aaa_server_tag?? 指定为AAA服务器认证
    or
    vpdn group group_name client authentication local?? 指定为PIX本地认证
    其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
    [no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
    [no] aaa-server server_tag max-failed-attempts <number>
    [no] aaa-server server_tag protocol auth_protocol

  • 2.9 指定客户记账使用的AAA服务器
  • vpdn group group_name client accounting aaa_server_tag

  • 2.10 指定为客户做本地认证时使用的用户名及密码
  • vpdn username username password password

  • 2.11 指定L2TP的hello报文间隔时间
  • vpdn group_name l2tp tunnel hello hello timeout?? 默认间隔时间为60秒,范围10-300。

  • 2.12 在接口上使能拨号
  • vpdn enable ifname??? 仅支持inbound连接。


  • 三、PPTP的配置
  • 3.1 接受所有的L2TP和Ipsec报文,这些报文不经过acl、conduit。
  • sysopt connection permit-pptp

  • 3.2 定义一个PPTP拨入服务的VPDN组。
  • vpdn group group_name accept dial-in pptp

  • 3.3 定义PPP使用的认证方式。
  • vpdn group group_name ppp authentication pap/chap/mschap
    对于一个vpdn group,可以使用本命令配置多个认证协议,例如,可以依次指定pap、chap,或支持全部三种认证协议。

  • 3.4 指定为PPP客户端分配地址的地址池范围。
  • vpdn group group_name client configuration address local address_pool_name
    其中,”local address_pool_name”这个参数是用命令”ip local pool pool_name pool_start_address[-pool_end_address] [mask mask]“配置好的一个地址池的名称。

  • 3.5 指定为PPP客户端分配的DNS服务地址。
  • vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
    最多可以同时配置两个。

  • 3.6 指定为PPP客户端分配WINS服务器地址。
  • vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
    最多可以同时配置两个。

  • 3.7 指定客户认证方式。
  • vpdn group group_name client authentication aaa aaa_server_tag?? 指定为AAA服务器认证
    or
    vpdn group group_name client authentication local?? 指定为PIX本地认证
    其中,aaa_server_tag是使用下列AAA模块的命令配置的AAA服务器:
    [no] aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]
    [no] aaa-server server_tag max-failed-attempts <number>
    [no] aaa-server server_tag protocol auth_protocol

  • 3.8 指定客户记账使用的AAA服务器
  • vpdn group group_name client accounting aaa_server_tag

  • 3.9 指定为客户做本地认证时使用的用户名及密码
  • vpdn username username password password

  • 3.10 指定PPP使用微软MPPE加密
  • vpdn group group_name ppp encryption mppe {40 | 128| auto} [required]???? required选项表示要求MPPE加密为必选步骤,如MPPE加密协商未成功则连接无法建立。

  • 3.11 在接口上使能拨号
  • vpdn enable ifname??? 仅支持inbound连接。
    配置PPTP的注意点:如果使用了MPPE加密,则必须使用MSCHAP认证。如果”vpdn group group_name client authentication”指定了AAA服务器方式认证,则必须使用支持MSCHAP_MPPE_KEY属性的RADIUS服务器做AAA认证。

思科PIX防火墙的VPDN配置就是以上这些内容,稍后会增加根据思科配置手册整理出来的ASA8.0版本的VPDN配置方法,与PIX有一定的变化,敬请期待。

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>