Anh Minh và các Pro nào có kinh nghiệm giúp em cấu hình VPN Client Remote Access trên PIX 515E.

Router 1700---->switch1---->switch2
switch1---->switch3---->PIX515E

Thanks

PIX 515E của bạn chạy hệ điều hành version bao nhiêu để tôi gửi cấu hình tương ứng.

Em đang sử dụng phần mềm Cisco ASDM 5.0 để quản trị.Pix Ver 7.0.
Cam on anh

bạn có thể cấu hình Easy VPN server theo ví dụ dưới đây. Trong ví dụ này, PIX 515E chạy version 7.0.

Example 22-8. Network with a 515E and 7.0 as an Easy VPN Server

Server(config)# interface ethernet0
Server(config-if)# ip address 192.1.1.1 255.255.0.0
Server(config-if)# nameif outside
Server(config-if)# exit
Server(config)# interface ethernet1
Server(config-if)# ip address 192.168.0.1 255.255.0.0
Server(config-if)# nameif inside
Server(config-if)# exit
Server(config)# isakmp policy 1 authentication pre-share (1)
Server(config)# isakmp policy 1 encryption 3des
Server(config)# isakmp policy 1 hash sha
Server(config)# isakmp policy 1 group 2
Server(config)# isakmp policy 1 lifetime 3600
Server(config)# isakmp enable outside
Server(config)# access-list split-tunnel permit (2)
192.168.0.0 255.255.255.0
192.168.0.0 255.255.255.0
Server(config)# group-policy salespolicy internal (3)
Server(config)# group-policy salespolicy attributes
Server(config-group-policy)# domain-name cisco.com
Server(config-group-policy)# dns-server value 192.168.0.10
Server(config-group-policy)# split-dns cisco.com
Server(config-group-policy)# wins-server value 192.168.0.11
Server(config-group-policy)# vpn-session-timeout 15
Server(config-group-policy)# split-tunnel-policy tunnelspecified
Server(config-group-policy)# split-tunnel-network-list
value split-tunnel
Server(config-group-policy)# client-firewall req
sygate-personal-pro
Server(config-group-policy)# exit
Server(config)# ip local pool salespool (4)
192.168.0.200-192.168.0.254
Server(config)# username salesuser password sales123 (5)
Server(config)# tunnel-group salesgroup type ipsec-ra (6)
Server(config)# tunnel-group salesgroup general-attributes
Server(config-general)# address-pool salespool
Server(config-general)# exit
Server(config)# tunnel-group salesgroup ipsec-attributes
Server(config-ipsec)# pre-shared-key salesgroup123
Server(config-ipsec)# isakmp keepalive threshold 20 retry 10
Server(config-ipsec)# exit
Server(config)# crypto ipsec transform set trans1 (7)
esp-3des esp-md5-hmac
Server(config)# crypto dynamic-map dyn1 1 set (8)
transform-set trans1
Server(config)# crypto dynamic-map dyn1 1 set reverse-route
Server(config)# crypto map mymap 999 ipsec-isakmp dynamic dyn1
Server(config)# crypto map mymap interface outside
Server(config)# sysopt connection permit-ipsec





Here's an explanation of the references in the above example:

1. An ISAKMP/IKE Phase 1 policy is defined for pre-shared keys and ISAKMP is enabled on the PIX's outside interface.

Định nghĩa ISAKMP/IKE của pha 1, dùng pre shared key và bật ISAKMP bên cổng bên ngoài của PIX.

2. A split tunneling ACL is configured: only the traffic sent to and from the Remotes to the cisco.com site is protected.

Cấu hình một ACL để hỗ trợ split tunneling. ACL này sẽ chỉ ra những traffic nào được bảo vệ.

3. A policy called "salespolicy" is defined with the split tunneling policy, and with other parameters, including the requirement of Sygate's firewall with the AYT feature.

Một chính sách có tên là "salespolicy" được định nghĩa.


3. An address pool is created to be used in the assignment of internal addresses to the Remotes.

Định nghĩa một dãy các địa chỉ để gán cho các máy remote.

4. A user is defined and will inherit its attributes from the group it authenticates to.

Định nghĩa tên người dùng và các thuộc tính sẽ được gán cho người dùng này khi họ kết nối vào.

5. A remote access group is created and associated with the address pool in reference (4) along with a pre-shared key of "salesgroup123."

Tạo ra một nhóm người dùng và kết hợp với "salesgroup123".

6. A transform set is defined to protect the data SAs.

Định nghĩa transform set.

7. A dynamic and static crypto map are enabled, in addition to being activated on the outside interface; IPsec traffic is also exempted from ACL processing on the outside interface.

Tạo ra crypto map tĩnh và động.