【正文】 ip /*拒絕技術(shù)部訪問財務(wù)部accesslist 101 deny ip /*拒絕銷售部訪問財務(wù)部accesslist 101 deny ip /*拒絕售后部訪問財務(wù)部accesslist 101 permit ip any any interface vlan10 ip accessgroup 101 out /*把ACL應(yīng)用到虛接口上是ACL生效當ACL配置完成后，從其他部門無法ping通caiwu部門的主機，圖34是jishu部的PC3 ping caiwu部的Windows 2000，無法ping通。STP利用BPDU（Bridge Protocol Data Unit）和其他交換機進行通信，從而確定哪個交換機該阻斷哪個接口。橋ID由兩部分組成：網(wǎng)橋優(yōu)先級+MAC地址。選舉了根橋后，其他的交換機就成了非根橋了。inside口連接內(nèi)部網(wǎng)的交換機，而DMZ端口則連接到DMZ區(qū)的交換機；相應(yīng)的，outside端口將直接與ISP網(wǎng)關(guān)相連接。對需要向外發(fā)布的服務(wù)器，則利用NAT的端口映射對外提供服務(wù)。 防火墻端口的配置首先，主機名改為PIX，方便日后維護，然后設(shè)置telnet密碼和enable密碼，使用MD5加密，保證防火墻的安全。 VPN的配置當前，企業(yè)員工具有很大的可移動性，因此實現(xiàn)信息的無障礙訪問已成為幾乎所有知識型員工的迫切業(yè)務(wù)需要。本設(shè)計中VPN的實現(xiàn)有以下四種方案：1）在DMZ區(qū)的服務(wù)器上搭建一個VPN服務(wù)器，分部的主機通過PPTP或者L2TP連接到總部的VPN服務(wù)器上。下面將對VPN的配置部分進行詳細說明： PPTP VPN和L2TP VPN的配置要使Headquarter路由器和Branch路由器能夠通信，首先要配置GRE隧道。（2）配置路由和遠程訪問服務(wù)器在路由和遠程訪問服務(wù)器上需要配置一個虛擬IP地址池，這些IP地址是分配給撥入VPN服務(wù)器的客戶端的。圖39 設(shè)置身份驗證方法（3）配置允許進行VPN撥入的賬戶在Active Directory用戶和計算機里新建一個用戶，這個用戶是客戶端撥入總部所使用的用戶名。（4）連接成功后的信息，如圖310和圖311所示圖310客戶端PPTP VPN的信息圖311客戶端獲得的IP到此PPTP VPN 配置完畢。L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。圖312 設(shè)置預(yù)共享密鑰2）客戶端的配置 客戶端需要在IPSec中設(shè)置使用預(yù)共享的密鑰作為身份驗證，并輸入預(yù)共享密鑰，這里的預(yù)共享密鑰要與服務(wù)器端定義的密鑰是一樣的，否則客戶端不能成功連接VPN服務(wù)器的，輸入用戶名密碼并連接。l 定義IKE1階段策略IKE1階段 強制性階段1在IPSec對等體之間建立一個雙向SA，終端設(shè)備之間使用相同密鑰。crypto ipsec transformset myset esp3des espmd5hmac /*配置IPSec轉(zhuǎn)換集crypto map mymap 1 ipsecisakmp /*配置加密映射 set peer /*指定對等體 set transformset myset /*加載加密算法 match address 101 /*加載定義的ACL interface serial1/0 /*進入外網(wǎng)接口crypto map mymap /*將定義的密碼圖應(yīng)用到接口上到此Headquarter路由器上的IPSec VPN就配置完畢2）驗證IPSec VPN在Headquarter路由器上show crypto isakmp sa查看IPSec VPN狀態(tài)已經(jīng)是出于活動狀態(tài)如圖315所示。 Cisco EasyVPN的配置1）服務(wù)器端的配置在Headquarter路由器上配置Easy VPN的server端username xu password cisco /*定義本地用戶數(shù)據(jù)庫aaa newmodel /*啟用AAA認證aaa authorization network easyvpn local /*定義授權(quán)訪問列表這里為easyVPNaaa authentication login nj local /*定義登陸驗證列表這里為njip local pool vpool /*定義虛擬IP地址池l IKE1階段策略crypto isakmp policy 10 /*定義一個策略10authentication preshare /*使用預(yù)共享密鑰hash sha /*定義消息完整性算法encryption 3des /*定義加密算法，客戶端只支持3desgroup 2 /*定義密鑰交換參數(shù)，客戶端只支持group2crypto isakmp client configuration group easyvpn /*調(diào)用授權(quán)訪問列表key cisco /*設(shè)置預(yù)共享密鑰，這里為ciscodomain /*定義客戶端獲得的域名，可選參數(shù)dns /*定義客戶端獲得的DNS服務(wù)器的地址pool vpool /*加載上面定義的虛擬IP地址池l IKE2階段策略crypto IPSec transformset myset esp3des espmd5hmac /*配置裝換集crypto dynamicmap dyn 1 /*動態(tài)加密映射set transformset myset /*加載裝換集reverseroute /*反向路由注入crypto map mymap 10 IPSecisakmp dynamic dyn /*將動態(tài)映射到靜態(tài)crypto map mymap client authentication list nj /*定義客戶端使用的驗證列表crypto map mymap isakmp authorization list easyvpn /*定義授權(quán)訪問列表crypto map mymap client configuration address respond /*向客戶端推送配置interface serial1/0crypto map mymap /*將定義的密碼圖應(yīng)用到接口上2）客戶端的配置 在分部或移動的主機上安裝Cisco VPN Client這個軟件點擊[new]按鈕添加VPN服務(wù)器的信息Connection Entry自己可以給他起個名字這里填入headquarter，,Name應(yīng)填寫VPN 服務(wù)器端定義的訪問列表的名字為easyVPN，這里的password是預(yù)共享密鑰為cisco，點擊Save保存。圖320客戶端獲得的IP地址在總部的ping 這個虛擬IP，并在Branch路由器的外網(wǎng)口進行抓包發(fā)現(xiàn)所傳送的數(shù)據(jù)包都是被ESP進行加密過的，如圖321所示。 interface loopback0 ip address /*配置回環(huán)口的地址 aaa newmodel /*啟用AAA認證aaa authentication login webvpn local ip local pool vpool /*定義虛擬IP地址池username xuaaa password 123 /*定義本地用戶數(shù)據(jù)庫webvpn gateway sslgateway /*定義webVPN在哪個端口上監(jiān)聽ip address port 443 /*定義監(jiān)聽端口的IP和端口號inservice /*啟用webVPN gateway配置exitwebvpn context webcontext /*定義webVPN的上下文gateway sslgateway /*將context和sslgateway關(guān)聯(lián)aaa authentication list webvpn /*將context和sslgateway關(guān)聯(lián)inservice 。 Cisco SSL VPN的配置SSL VPN利用內(nèi)置在Web瀏覽器中的SSL加密和驗證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠程訪問企業(yè)應(yīng)用的機制，SSL VPN的好處就是客戶端不需要安裝VPN軟件，大大簡化的用戶的使用難度。圖318設(shè)置預(yù)共享密鑰然后點擊Connect 會出現(xiàn)如下的對話框，在彈出的對話框里填入VPN端在用戶數(shù)據(jù)庫里定義好的一個用戶這里填入上面定義的一個用戶，輸入用戶名和密碼，然后確定，如圖319所示。圖316 查看加密的數(shù)據(jù)包再從分部ping總部的服務(wù)器地址并在Headquarter路由器外網(wǎng)口抓包所抓到的包都是經(jīng)過ESP加密的，如圖317所示。crypto isakmp policy 10 /*定義一個策略10，建立IPSec VPN兩端的策略要一致 authentication preshare /*認證方式有三種預(yù)共享密鑰、rsa數(shù)字簽名、rsa加密 hash sha /*消息完整性算法有兩種sha和MD5默認是sha encryption des /*加密算法有三種3des、aes、des默認是des group 2 /*定義密鑰交換參數(shù)group有三個參數(shù)5,1使用768位密鑰，2使用1024位密鑰crypto isakmp key cisco address /*確定使用的預(yù)共享密鑰這里為cisco 和目的路由器的IP地址。圖313客戶端L2TP VPN的信息圖314連接成功后的信息 IPSec VPN的配置本設(shè)計中在Headquarter路由器和Branch路由器上建立一條IPSec VPN隧道，是進入VPN隧道的數(shù)據(jù)都進行加密處理。L2TP VPN比PPTP VPN的配置就多了一個IPSec的預(yù)共享密鑰所以只需要在服務(wù)器端和客戶端配置一個相同的預(yù)共享密鑰就好了。它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息。（2），完成客戶端的配置。 radius身份驗證的端口有1812和1645，記賬端口有1813和1646，然后需要配置機密為123456，也就是在Internet驗證服務(wù)器上配置的共享的機密，如圖38所示。Headquarter路由器上配置路由協(xié)議：router ospf 100 /*啟用OSPF進程 network area 0 /*把f 2/0口參與OSPF進程 network area 0 /*把tunnel口參與OSPF進程 network area 0 /*把f 0/0口參與OSPF進程Branch路由器上配置路由協(xié)議：router ospf 100 /*啟用OSPF進程network area 0 /*把f 2/0口參與OSPF進程network area 0 /*把tunnel口參與OSPF進程至此GRE和路由都配置完畢，現(xiàn)在Headquarter和Branch就能夠通信了從Branch可以ping通Headquarter了，如圖37所示圖37 總部與分部能夠互相通信 PPTP VPN的配置在本設(shè)計中PPTP VPN使用Windows 2003做VPN服務(wù)器。3） 在總部Headquarter路由器建立一個EasyVPN遠程用戶可通過Cisco VPN Client接入企業(yè)內(nèi)部網(wǎng)；定點的分公司可直接與總公司內(nèi)部網(wǎng)相連。而且固定辦公人員的移動性也在提高，如出席各種會議、外出就餐、往返多個辦公場所、或希望晚上（或周末）在家工作燈。 PAT及端口映射配置內(nèi)網(wǎng)用戶需要訪問Internet那么在防火墻上就要配置NAT在這里公網(wǎng)出口只有一個公有IP所以需要配置PAT,其PAT的配置如下：accesslist 10 permit /*定義vlan10里面的地址允許被轉(zhuǎn)換accesslist 10 permit /*定義vlan20里面的地址允許被轉(zhuǎn)換accesslist 10 permit /*定義vlan30里面的地址允許被轉(zhuǎn)換accesslist 10 permit /*定義vlan40里面的地址允許被轉(zhuǎn)換ip nat inside source list 10 interface Serial1/0 overload /*在外網(wǎng)口s 1/0上啟用PATinterface fastethernet2/0ip nat inside /*定義f 2/0口為內(nèi)網(wǎng)口interface serial1/0ip nat outside /*定義s 1/0口為內(nèi)網(wǎng)口exit然后就是要配置端口映射，哪些服務(wù)器需要對外提供服務(wù)那么就需要在防火墻上配置端口映射，這樣外部網(wǎng)絡(luò)就能訪問被發(fā)布的服務(wù)器