防火墙上做EasyVPN

实验

实验拓扑图:

实验步骤:

路由器和PC机地址规划:

R1(config)#int f0/0

R1(config-if)#ip add 10.0.0.2 255.255.255.0

R1(config-if)#no shut

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

R3(config)#int f0/1

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/0

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside

配置NAT:

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/1 overload

R3(config)#int f0/1

R3(config-if)#ip nat out

R3(config-if)#int f0/0

R3(config-if)#ip nat in

配置默认路由:

R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

ciscoasa(config)# route outside 0 0 100.0.0.2

测试PC机是否ping通对端VPN设备:

在ASA上配置EasyVPN:

ciscoasa(config)# crypto isakmp enable outside   //开启isakmp

ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any  //定义客户端感兴趣流量

ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0   //定义客户端的IP地址范围

ciscoasa(config)# username zhangsan password 123123   //设置防火墙登陆的账户和密码

ciscoasa(config)# crypto isakmp policy 1

ciscoasa(config-isakmp-policy)# authentication pre-share

ciscoasa(config-isakmp-policy)# encryption 3des

ciscoasa(config-isakmp-policy)# hash sh

ciscoasa(config-isakmp-policy)# group 2

ciscoasa(config)# group-policy gpolicy internal    //建立内置组策略

ciscoasa(config)# group-policy gpolicy attributes   //配置策略属性

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified   //定义所有指定的流量可以通过隧道

ciscoasa(config-group-policy)# split-tunnel-network-list value 110   ///调用ACL

ciscoasa(config-group-policy)# address-pools value vip   //调用地址池

ciscoasa(config)# tunnel-group ezvpn type ipsec-ra     //定义隧道组并指定类型为远程访问

ciscoasa(config)# tunnel-group ezvpn general-attributes   //指定属性

ciscoasa(config-tunnel-general)# default-group-policy gpolicy  //调用组策略

ciscoasa(config-tunnel-general)# ex

ciscoasa(config)# tunnel-group ezvpn ipsec-attributes  //设置预共享密钥

ciscoasa(config-tunnel-ipsec)# pre-shared-key abc123

ciscoasa(config-tunnel-ipsec)# ex

ciscoasa(config)# crypto ipsec transform-set bset esp-3des esp-sha-hmac   ///定义传输集

ciscoasa(config)# crypto dynamic-map dmap 1 set transform-set bset  //动态map中调用传输集

ciscoasa(config)# crypto map bmap 1 ipsec-isakmp dynamic dmap   //静态map调用动态map

ciscoasa(config)# crypto map bmap in outside   //静态map调用在端口

测试客户端访问与内网通信:

实验完成

时间: 2024-11-13 13:38:06

防火墙上做EasyVPN的相关文章

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

在ASA防火墙上实现SSL-VPN(胖客户端模式)

实验拓扑: 图中R2模拟公网,假设某公司有一个服务器C2(windows server 2008系统,ip地址为192.168.10.2)公司的某员工需要远程访问这台服务器,C1为该员工用的客户端电脑(windows XP系统),R1是192.168.1.0内网的出口路由 实验要求: 1.192.168.1.0和192.168.10.0两个内网可以访问公网 2.在防火墙上用胖客户端模式做SSL-VPN实现C1可以访问C2 实验步骤: 首先为每个设备配置ip地址和路由 R1(config-if)#

L2TP-VPN通用原理取证及在华为防火墙上的实施

L2TP-VPN通用原理取证及在华为防火墙上的实施 课程目标: ü        系列VPN课程的起步,通过该课程识别VPN的典型架构 ü        完整的理解并取证L2TP的工作原理及各种配置方案 ü        为理解其它VPN比如:IPSec.MPLS-VPN打下基础 ü        因为各种VPN在必要时,它们可以借力打力,相互承载 适合人群:希望深入理解各种VPN的人群.VPN技术工程人员.华为.思科的安全学员.   课程位置:http://edu.51cto.com/cour

在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下. 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替 关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介

故障解决之在防火墙上实现ECMP功能

故障解决之在防火墙上实现链路负载 一.网络拓扑 二.基本配置 1.职场的网关是Juniper的EX4200,配置有vlan524 :10.63.224.0/24和vlan525 :10.63.225.0/24.配置默认路由下一跳指向防火墙. 2.在防火墙SSG550-1上连接两条互联网专线(电信.移动),配置了两条默认路由下一跳分别指向运营商.如下图: 3.在防火墙上配置回指路由. 4.在防火墙上设置224网段通过电信专线访问互联网,225网段通过移动专线访问互联网. 5.添加防火墙策略 二.故

解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题

在docker中运行第三方服务时,通常需要绑定服务端口到本地主机.但使用 -p 参数进行的端口映射,会自动在iptables中建立规则,绕过firewalld,这对于端口级的黑白名单控制管理是很不利的,所以我们需要对iptables进行手动修改. 这里以从名为centos.19.09.05的image建立一个容器为例: 首先,如果系统是CentOS7的话,需要关闭自带firewalld防火墙,并切换为iptables. 假设需要将新容器的27017端口映射到主机的27017端口,一般情况下我们使

ASA防火墙上实现IPSec 虚拟专用网

1.虚拟专用网可以通过IPSec 虚拟专用网原理与配置理解虚拟专用网 2.IPsec 虚拟专用网故障排查 (show crypto isakmp)通过它可以了解管理连接所处的状态 (debug crypto isakmp ) 通过该命令是实际工作中最常用于诊断和排查管理连接出现问题的命令 3.防火墙与路由器的区别 IKE协商默认是否开启默认情况下,IKE协商在路由器中是开启的,而在ASA防火墙中是关闭的 隧道组特性引入 接口安全级别对于IPSec流量的影响 ASA(config)#same-se

Windows 打开防火墙上的指定端口

第一步: 控制面板-->打开防火墙 第二步: 高级设置 第三步: 入站规则--->新建规则 第四步: 第五步: 第六步: 第七步: 第八步: