//为动态加密图条目定义传换集
crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map //创建一个使用动态加密条目的加密图 crypto map outside_map interface outside //将 outside_map加密图应用到outside端口 ------------配置IKE--------------
crypto isakmp enable outside //在ostside 接口启动ISAKMP crypto isakmp policy 20 //isakmmp权值,值越小权值越高 authentication pre-share //指定同位体认证方法是共享密钥 encryption des //指定加密算法 hash md5 //指定使用MD5散列算法 group 2 //指定diffie-hellman组2
lifetime 86400 //指定SA(协商安全关联)的生存时间 crypto isakmp policy 65535 authentication pre-share encryption des hash md5 group 2 lifetime 86400
-------------调用组策略----------------- crypto isakmp nat-traversal 20
tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法 default-group-policy l2lvpn //指定默认组策略名称。
tunnel-group DefaultL2LGroup ipsec-attributes //配置认证方法为IPSEC
pre-shared-key * //提供IKE连接的预共享密钥
tunnel-group vpnclient type ipsec-ra //设置连接类型为远程访问。 tunnel-group vpnclient general-attributes //配置这个通道组的认证方法 address-pool vpnclient //定义所用的地址池 default-group-policy vpnclient //定义默认组策略 -----设置认证方式和共享密钥-------------
tunnel-group vpnclient ipsec-attributes //配置认证方法为IPSEC pre-shared-key * //提供IKE连接的预共享密钥
telnet timeout 5 //telnet 超时设置
ssh timeout 60 //SSH连接超时设置 console timeout 0 //控制台超时设置 dhcp-client update dns server both ! 的地址池
dhcpd enable inside //启动DHCP服务。 ! !
class-map inspection_default match default-inspection-traffic ! !
policy-map type inspect dns migrated_dns_map_1 parameters
message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !
service-policy global_policy global prompt hostname context : end
防火墙配置实例
