多平台统一管理软件接口,如何实现多平台统一管理软件接口
1409
2022-10-01
ASA和ASA防火墙配置IPSec VPN和故障排查(ASA防火墙配置指南)
拓扑图:
推荐步骤:
防火墙路由器PC机配置IP地址ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通在ASA1和ASA2上开启NAT控制强流量被NAT转换并配置NAT,实现PC1访问ISP路由器的Lo0接口流量被NAT转发在ASA1和ASA2防火墙配置IPSec VPN实现PC1访问PC2流量被IPSec VPN保护
实验步骤:
一、防火墙、路由器、PC机配置IP地址
1、ASA1防火墙配置IP地址
1)防火墙接ASA1口配置IP地址
ASA1(config)# interface ethernet 0/0
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)# ip address 192.168.100.2 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# exit
ASA1(config)# interface ethernet 0/1
ASA1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)# ip address 192.168.10.1 255.255.255.0
ASA1(config-if)# no shutdown
2)查看ASA接口配置的IP地址
2、ASA2防火墙配置IP地址
1)防火墙接ASA1口配置IP地址
ASA2(config)# interface ethernet 0/0
ASA2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA2(config-if)# ip address 192.168.200.2 255.255.255.0
ASA2(config-if)# no shutdown
ASA2(config-if)# exit
ASA2(config)# interface ethernet 0/1
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)# ip address 192.168.20.1 255.255.255.0
ASA1(config-if)# no shutdown
2)查看ASA2接口配置的IP地址
3、ISP路由器配置IP地址
1)给ISP路由器接口配置IP地址
ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.100.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.200.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface loopback 0
ISP(config-if)#ip address 192.168.30.1 255.255.255.0
ISP(config-if)#end
2)查看ISP路由器接口配置IP地址
4、PC1计算机配置IP地址
1)给PC1接口配置IP地址
PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1
PC1(config)#end
2)查看PC1配置的IP地址
5、PC2计算机配置IP地址
1)给PC2接口配置IP地址
PC2(config)#no ip routing
PC2(config)#interface fastEthernet 0/0
PC2(config-if)#ip address 192.168.20.2 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.1
PC2(config)#end
2)查看PC1配置的IP地址
二、ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通
1、ASA1防火墙配置默认路由
1)在ASA1上配置默认路由
ASA1(config)# route outside 0 0 192.168.100.1
ASA1(config)# end
2)查看默认路由
2、ASA2防火墙配置默认路由
1)在ASA1上配置默认路由
ASA2(config)# route outside 0 0 192.168.200.1
ASA2(config)# end
2)查看默认路由
3、ISP路由器配置静态路由
1)在ISP路由器配置静态路由
ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2
ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2
ISP(config)#end
2)查看路由表
4、ASA防火墙将ICMP协议添加状态列表验证全网互通
1)ASA1将ICMP协议添加状态化列表
ASA1(config)# fixup protocol icmp
INFO: converting 'fixup protocol icmp ' to MPF commands
2)验证全网互通
3)ASA2将ICMP协议添加状态化列表
ASA2(config)# fixup protocol icmp
INFO: converting 'fixup protocol icmp ' to MPF commands
4)验证全网互通
三、在ASA1和ASA2上开启NAT控制强流量被NAT转换并配置NAT,实现PC1访问ISP路由器的Lo0接口流量被NAT转发
1、ASA1配置NAT
1)开启NAT控制强制流量走NAT
ASA1(config)# nat-control
2)配置访问控制识别NAT的流量
ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0
3)将识别的流量映射到outside接口
ASA1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
4)访问ISP的Lo0接口
5)查看地址转换列表
2、ASA1配置豁免
1)创建访问控制列表豁免的流量
ASA1(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
2)应用豁免
ASA1(config)# nat (inside) 0 access-list nonat
3)PC1访问PC2测试网络连通性查询路由表
3、ASA2配置NAT
1)开启NAT控制强制流量走NAT
ASA2(config)# nat-control
2)配置访问控制识别NAT的流量
ASA2(config)# nat (inside) 1 192.168.20.0 255.255.255.0
3)将识别的流量映射到outside接口
ASA2(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
4)访问ISP的Lo0接口
5)查看地址转换列表
4、ASA2配置豁免
1)创建访问控制列表豁免的流量
ASA2(config)# access-list nonat permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0
2)应用豁免
ASA2(config)# nat (inside) 0 access-list nonat
3)PC1访问PC2测试网络连通性查询路由表
四、在ASA1和ASA2防火墙配置IPSec VPN实现PC1访问PC2流量被IPSec VPN保护
1、配置ASA1防火墙配置IPSec VPN
1)创建安全策略
ASA1(config)# crypto isakmp policy 1
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# encryption aes
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# group 2
ASA1(config-isakmp-policy)# lifetime 86400
ASA1(config-isakmp-policy)# exit
2)创建访问控制列表识别经过ipsec VPN转发的流量
ASA1(config)# access-list ipsecvpn permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
3)开启Outside接口允许IKE协商建立IPSec VPN连接
ASA1(config)# crypto isakmp enable outside
4)配置共享密钥pwd@123和允许和对端IP地址192.168.200.2建立IPSec VPN
ASA1(config)# crypto isakmp key pwd@123 address 192.168.200.2
5)创建传输集名字bj-set,加密使用aes验证使用md5
ASA1(config)# crypto ipsec transform-set bj-set esp-aes esp-md5-hmac
6)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集
ASA1(config)# crypto map bj-vpn 1 match address ipsecvpn
ASA1(config)# crypto map bj-vpn 1 set peer 192.168.200.2
ASA1(config)# crypto map bj-vpn 1 set transform-set bj-set
7)将crypto map应用到Outside接口
ASA1(config)# crypto map bj-vpn interface outside
8)配置访问控制列表允许低安全级别访问高
ASA1(config)# access-list out_to_in permit ip any any
ASA1(config)# access-group out_to_in in interface outside
9)配置相同安全级别允许通信
ASA1(config)# same-security-traffic permit inter-interface
2、配置ASA2防火墙配置IPSec VPN
1)创建安全策略
ASA2(config)# crypto isakmp policy 1
ASA2(config-isakmp-policy)# authentication pre-share
ASA2(config-isakmp-policy)# encryption aes
ASA2(config-isakmp-policy)# hash md5
ASA2(config-isakmp-policy)# group 2
ASA2(config-isakmp-policy)# lifetime 86400
ASA2(config-isakmp-policy)# exit
2)创建访问控制列表识别经过ipsec VPN转发的流量
ASA2(config)# access-list ipsecvpn permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0
3)开启Outside接口允许IKE协商建立IPSec VPN连接
ASA2(config)# crypto isakmp enable outside
4)配置共享密钥pwd@123和允许和对端IP地址192.168.100.2建立IPSec VPN
ASA2(config)# crypto isakmp key pwd@123 address 192.168.100.2
5)创建传输集名字sh-set,加密使用aes验证使用md5
ASA2(config)# crypto ipsec transform-set sh-set esp-aes esp-md5-hmac
6)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集
ASA2(config)# crypto map sh-vpn 1 match address ipsecvpn
ASA2(config)# crypto map sh-vpn 1 set peer 192.168.100.2
ASA2(config)# crypto map sh-vpn 1 set transform-set sh-set
7)将crypto map应用到Outside接口
ASA2(config)# crypto map sh-vpn interface outside
8)配置访问控制列表允许低安全级别访问高
ASA2(config)# access-list out_to_in permit ip any any
ASA2(config)# access-group out_to_in in interface outside
9)配置相同安全级别允许通信
ASA2(config)# same-security-traffic permit inter-interface
3、验证ASA1的IPSec VPN和NAT豁免
1)PC1访问PC2
2)查看ASA1防火墙IPSec VPN连接状态
3)查看ASA1防火墙IPSec VPN数据转发情况
4)PC1访问ISP的Lo0接口IP地址
5)查看ASA1的NAT转换列表
4、验证ASA2的IPSec VPN
1)PC2访问PC1
2)查看ASA2防火墙IPSec VPN连接状态
3)查看ASA2防火墙IPSec VPN数据转发情况
4)PC2访问ISP的Lo0接口IP地址
5)查看ASA2的NAT转换列表
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
评论列表