Cisco ASA在NAT环境下与Router IKEv2的***隧道建立

Cisco ASA在NAT环境下与Router IKEv2的***隧道建立

实验环境

实验描述

ASA配置SNAT和默认路由使PC1可以正常访问ISP；

SW1开启三层路由并配置默认路由指向ASA，G0/0接口划分VLAN到VLAN10；

R1配置默认路由，ISP配置回指路由使PC2可以正常访问ISP；

由于PC1经过ASA的SNAT地址转换，PC2和ISP之间使用静态路由通信，使PC1与PC2是可以正常通信，但R1访问ISP并没有经过NAT转换所以PC2无法访问PC1；

在ASA与R1之间配置IKEv2的***隧道，使PC1和PC2能互相通信，同时PC1的SNAT不受影响；

---以下配置省略掉基础网络配置---

ASA配置（***）：

1.在Outside接口启用IKEv2crypto ikev2 enable outside2.配置第一阶段协商crypto ikev2 policy 10encryption aes-256 3desintegrity md5group 5 2prf md5lifetime seconds 864003.配置tunnel-group（预共享密钥）tunnel-group 200.200.200.2 type ipsec-l2ltunnel-group 200.200.200.2 ipsec-attributesikev2 remote-authentication pre-shared-key Skills39ikev2 local-authentication pre-shared-key Skills394.配置转换集crypto ipsec ikev2 ipsec-proposal trans1protocol esp encryption 3desprotocol esp integrity md55.匹配感兴趣流object network lan #定义本段LAN网段subnet 192.168.1.0 255.255.255.0object network R1-INT #定义对端LAN网段subnet 172.16.1.0 255.255.255.0access-list extended permit ip object lan object R1-INT #感兴趣流6.配置MAPcrypto map mymap 10 match address crypto map mymap 10 set peer 200.200.200.2crypto map mymap 10 set ikev2 ipsec-proposal trans1crypto map mymap interface Outside7.允许icmp流量access-list 101 extended permit icmp any anyaccess-group 101 in interface outside

ASA配置（NAT相关）：

nat (Inside,Outside) 1 source static lan lan destination static R1-INT R1-INT#配置identity nat（排除流量），使得192.168.1.0和172.16.1.0匹配到转换时，转换到自身#nat (Inside,Outside) 2 source dynamic lan interface #配置SNATR1配置（）1.配置第一阶段协商crypto ikev2 proposal ikev2-proposalencryption 3des aes-cbc-256integrity md5group 2 5!crypto ikev2 policy ikev2-policyproposal ikev2-proposal2.配置keyringcrypto ikev2 keyring ikev2-keyringpeer ASAaddress 100.100.100.2pre-shared-key Skills393.配置profilecrypto ikev2 profile ikev2-profilematch identity remote address 100.100.100.2 255.255.255.255identity local address 200.200.200.2authentication remote pre-shareauthentication local pre-sharekeyring local ikev2-keyring4.配置转换集crypto ipsec transform-set trans1 esp-3des esp-md5-hmacmode tunnel5.匹配感兴趣流ip access-list exetented permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.2556.配置mapcrypto map mymap 10 ipsec-isakmpset peer 100.100.100.2set transform-set trans1set ikev2-profile ikev2-profilematch address 7.接口调用mapinterface G0/0crypto may mymap

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。