的用户名、密码登录到B组。为了防止这种情况发生,可以在ACS上为两个组的用户指定不同的ACL，使得即使用户以别的组的身份登录，也无法访问受限资源。
　　
　　问题二的拓扑如下：
　　Lan1-----PIX525-----Internet------PIX506E------Lan2
　　
　　在该环境中，Lan2用户可以通过PIX 506E上网，但不能与PIX 525建立VPN连接。经观察发现，Lan2用户如果不通过PIX506E防火墙可以与PIX 525建立VPN连接。如果PIX 506E为Lan2中的某台PC做了静态NAT, 该PC也可以与PIX 525建立VPN连接。
　　
　　解决过程：
　　show version 发现PIX 506E不支持VPN-DES加密特性：
　　
　　Licensed Features:
　　Failover: Disabled
　　VPN-DES: Disabled
　　VPN-3DES-AES: Disabled
　　
　　PIX 的VPN-DES特性是免费的，如果出厂时该特性是Disabled的，要到网址http://www.cisco.com/kobayashi/sw-center/ciscosecure/pix.shtml(需要CCO帐号)点击“*FREE* Register for PIX 56-bit IPSEC Software Feature Key”进行注册获取新的Acitvation Key。高版本软件可以用命令activation-key 直接输入新的key,低版本的升级方法可以参考：http://mize.netbuddy.org/021213.html。

上一页

1

2

3

本文来源：天下网吧 作者：网吧方案