0
点赞
收藏
分享

微信扫一扫

第二章:ASA防火墙和路由器配置IPSec VPN(一)

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP

推荐步骤:

Ø 防火墙、路由器、PC机配置IP地址

Ø 防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通

Ø 在ASA上开启NAT控制强流量被NAT转换并配置NAT,在路由器R1上配置NAT实现PC1访问Lo0接口流量被NAT转发,PC2访问ISP的Lo0接口流量被NAT转发

Ø 在ASA防火墙和R1路由器上配置IPSec VPN实现PC1访问PC2流量被NAT转换

实验步骤:

一、防火墙、路由器、PC机配置IP地址

1、防火墙配置IP地址

1)防火墙接口配置IP地址

ASA1(config)# interface ethernet 0/0
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)# ip address 192.168.100.2 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# exit
ASA1(config)# interface ethernet 0/1
ASA1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)# ip address 192.168.10.1 255.255.255.0
ASA1(config-if)# no shutdown

2)查看ASA接口配置的IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_02

2、R1路由器配置IP地址

1)给R1路由器接口配置IP地址

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 192.168.200.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.20.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end

2)查看R1路由器接口配置的IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_03

3、ISP路由器配置IP地址

1)给ISP路由器接口配置IP地址

ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.100.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.200.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface loopback 0
ISP(config-if)#ip address 192.168.30.1 255.255.255.0
ISP(config-if)#end

2)查看ISP路由器接口配置IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_04

4、PC1计算机配置IP地址

1)给PC1接口配置IP地址

PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1
PC1(config)#end

2)查看PC1配置的IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_05

5、PC2计算机配置IP地址

1)给PC2接口配置IP地址

PC2(config)#no ip routing
PC2(config)#interface fastEthernet 0/0
PC2(config-if)#ip address 192.168.20.2 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.1
PC2(config)#end

2)查看PC1配置的IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_06

二、ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通

1、ASA防火墙配置默认路由

1)在ASA1上配置默认路由

ASA1(config)# route outside 0 0 192.168.100.1
ASA1(config)# end

2)查看默认路由

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_07

2、R1路由器配置默认路由

1)在R1路由器配置默认路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
R1(config)#end

2)查看R1路由表

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_08

3、ISP路由器配置静态路由

1)在ISP路由器配置静态路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2
ISP(config)#end

2)查看路由表

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_09

4、ASA防火墙将ICMP协议添加状态列表验证全网互通

1)ASA将ICMP协议添加状态化列表

ASA1(config)# fixup protocol icmp 
INFO: converting 'fixup protocol icmp ' to MPF commands

2) 验证全网互通

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_10

三、在ASA上开启NAT控制强流量被NAT转换并配置NAT,在路由器R1上配置NAT实现PC1访问Lo0接口流量被NAT转发,PC2访问ISP的Lo0接口流量被NAT转发

1、ASA配置NAT

1)开启NAT控制强制流量走NAT

ASA1(config)# nat-control

2)配置访问控制识别NAT的流量

ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0

3) 将识别的流量映射到outside接口

ASA1(config)# global (outside) 1 interface 
INFO: outside interface address added to PAT pool

4) 访问ISP的Lo0接口

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_11

5)查看地址转换列表

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_12

2、路由器R1配置NAT

1)接口开启NAT功能

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit

2)创建访问控制列表识别NAT流量VPN流量不能被NAT转换进行区分

R1(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
R1(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any

3)将NAT的流量映射到路由器外网接口

R1(config)#ip nat inside source list 100 interface fastEthernet 1/0 overload

4)开启NAT跟踪

R1#debug ip nat 
IP NAT debugging is on
R1#

5)PC2访问ISP的Lo0接口IP地址

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_13

6)查看地址转换信息

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_14

四、在ASA防火墙和R1路由器上配置IPSec VPN实现PC1访问PC2流量被NAT转换

1、在ASA配置豁免将VPN流量豁免查询路由表转发数据

1)创建豁免访问控制列表

ASA1(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.0

2)应用豁免

ASA1(config)# nat (inside) 0 access-list nonat

2、配置ASA防火墙配置IPSec VPN

1)创建安全策略

ASA1(config)# crypto isakmp policy 1
ASA1(config-isakmp-policy)# encryption aes
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# group 2
ASA1(config-isakmp-policy)# exit

2)创建访问控制列表识别经过ipsec VPN转发的流量

ASA1(config)#access-list ipsecvpn permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

3)开启Outside接口允许IKE协商建立IPSec VPN连接

ASA1(config)# crypto isakmp enable outside

4)配置共享密钥pwd@123和允许和对端IP地址192.168.200.2建立IPSec VPN 

ASA1(config)# crypto isakmp key pwd@123 address 192.168.200.2

5)创建传输集名字bj-set,加密使用aes验证使用md5

ASA1(config)# crypto ipsec transform-set bj-set esp-aes esp-md5-hmac

2) 创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集

ASA1(config)# crypto map bj-vpn 1 match address ipsecvpn
ASA1(config)# crypto map bj-vpn 1 set peer 192.168.200.2
ASA1(config)# crypto map bj-vpn 1 set transform-set bj-set

3) 将crypto map应用到Outside接口

ASA1(config)# crypto map bj-vpn interface outside

8)配置访问控制列表允许低安全级别访问高

ASA1(config)# access-list out_to_in permit ip any any
ASA1(config)# access-group out_to_in in interface outside

3、配置路由器IPSec VPN

1)创建安全策略

R1(config)#crypto isakmp policy 1
R1(config-isakmp)# encryption aes
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
R1(config-isakmp)# exit

2)创建访问控制列表设置经过ipsec VPN转发的流量

R1(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

3)配置共享密钥pwd@123和对端192.168.200.2IPSec VPN 

R1(config)#crypto isakmp key 0 pwd@123 address 192.168.100.2

4)创建传输集

R1(config)#crypto ipsec transform-set sh-set esp-aes esp-md5-hmac

5) 创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集

​R1(config)#crypto map sh-vpn 1 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#set peer 192.168.100.2
R1(config-crypto-map)#set transform-set sh-set

3) 将crypto map应用到接口

R1(config)#interface fastEthernet 1/0
R1(config-if)#crypto map sh-vpn

4、验证IPSec VPN

1)PC1访问PC2

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_15

2)查看ASA防火墙IPSec VPN连接状态

第二章:ASA防火墙和路由器配置IPSec VPN(一)_ide_16

3)查看ASA防火墙IPSec VPN数据转发情况

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_17

4)PC2访问PC1

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_18

5) 查看路由器IPSec VPN连接状态

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_19

6)查看IPSec VPN数据包转发状态

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_20

5、验证NAT

1)PC1访问ISP的Lo0接口使用NAT

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_21

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_22

2)PC2访问ISP的Lo0接口使用NAT

第二章:ASA防火墙和路由器配置IPSec VPN(一)_IP_23

第二章:ASA防火墙和路由器配置IPSec VPN(一)_NAT_24


举报

相关推荐

0 条评论