Bu Cisco PIX cihazı kendi CLI’si kullanılarak konfigüre.
Cisco PIX Phase 1’i konfigüre etmek için aşağıdaki komutları girin:
isakmp enable outside
isakmp key ******* address xx.xx.205.173 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
Cisco PIX Phase 2’i konfigüre etmek için aşağıdaki komutları girin:
crypto ipsec transform-set fortinet esp-3des esp-sha-hmac
crypto map test 10 ipsec-isakmp
crypto map test 10 match address BGLR
crypto map test 10 set peer xx.xx.205.173
crypto map test 10 set transform-set fortinet
cryto map test interface outside
crypto map test 10 set security-association lifetime seconds 86400
Ek Cisco PIX Kuralları
Erişim kontrol listesini (access control list – ACL) istenen VPN trafiğine ayarlayın ve NAT’a
geçin:
access-list BGLR permit ip 192.192.192.0 255.255.255.0 10.1.4.0 255.255.255.0
nat (inside) 0 access-list BGLR
sysopt connection permit-ipsec
VPN’i test etme:
VPN’i uzak ağdan adresleri ping’leyerek test edebilirsiniz. Ayrıca VPN çalışmasını
onaylamak için aşağıdaki komutları kullanabilirsiniz:
diag vpn tunnel list On the FortiGate unit, lists operating VPN tunnels
show crypto isakmp sa On the Cisco PIX appliance, shows the Phase 1 security associations
show crypto ipsec sa On the Cisco PIX appliance, shows the Phase 2 security associations
Sorun Giderme
FortiGate debug komutları
11
diag debug enable
diag debug appli ike 2
Phase 1 ve phase 2 görüşmelerini görüntüleyin
Cisco PIX debug komutları
debug crypto isakmp IKE olayları hakkındaki mesajları görüntüler.
debug crypto ipsec IPSec olayları hakkındaki bilgiyi görüntülenir.