ASA防火墙IPSEC

                                      实验ASA防火墙IPSEC

实验步骤:

1.首先在R1,R2,R3配置ip地址,R1R3配置默认路由

2.配置ASA1 ASA 2

首先ASA1初始化

然后改下名字,在配置接口名称和IP地址以及默认路由和静态路由

首先开启ISAKMP/IKE

在配置第一个阶段安全策略(优先级别为1,注意:数字越小就越大)

定义五个要素:定义加密(encryption),定义哈希验证(hash)定义身份验证( authentcation) 定义DH加密强度(group) 定义生存周期(lifetime)

crypto isakmp key abc123 address 20.1.1.2   //预共享密钥//

access-list 110 permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 //在配置感兴趣流量//

crypto ipsec transform-set benet esp-aes esp-sha-hmac //在配置传输集//

然后建立会话

crypto map benetmap 1 set peer 20.1.1.2 //首先定义名字和优先级,然后进行调用//

crypto map benetmap 1 set transform-set benet //在配置传输集//

crypto map benetmap 1 match address 110  //在匹配ACL//

crypto map benetmap interface outside  //最后应用端口//

然后ASA2初始化

然后改下名字,在配置接口名称和IP地址以及默认路由和静态路由

首先开启ISAKMP/IKE

在配置第一个阶段安全策略(优先级别为1,注意:数字越小就越大)

定义五个要素:定义加密(encryption),定义哈希验证(hash)定义身份验证( authentcation) 定义DH加密强度(group) 定义生存周期(lifetime)

crypto isakmp key abc123 address 10.1.1.2   //预共享密钥//

access-list 110 permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0 //在配置感兴趣流量//

crypto ipsec transform-set benet esp-aes esp-sha-hmac //在配置传输集//

然后建立会话

crypto map benetmap 1 set peer 10.1.1.2 //首先定义名字和优先级,然后进行调用//

crypto map benetmap 1 set transform-set benet //在配置传输集//

crypto map benetmap 1 match address 110  //在匹配ACL//

crypto map benetmap interface outside  //最后应用端口//

最后在VPC上配置ip地址然后,C1ping下C2看通不通

                     

时间: 2024-10-25 12:00:31

ASA防火墙IPSEC的相关文章

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i

asa防火墙ipsec lan-lan vpn综合案例解析

我们来介绍Router与ASA之间配置LAN-to-LANVPN,即Router-to-ASA LAN-to-LANVPN 来加深对防火墙以及ipsec LAN-to-LANVPN的理解 实验环境拓扑如下: 说明:我们下面需要以上图的环境来演示LAN-to-LANVPN的效果,其中两个远程公司的网络上海和北京,如R5与R4之间需要直接使用私有地址来互访,比如R5通过直接访问地址192.168.1.4来访问R4,而R2则相当于Internet路由器,R2只负责让R1与ASA能够通信,R2不会配置任

ASA防火墙ipsec vpn

crypto isakmp enable outside crypto isakmp policy 1 encryption 3des|des|aes hash sha|md5 authentication pre-share|rsa-encr|rsa-sig group 1|2|5 lifetime 120- access-list 100-199 permit|deny ip crypto isakmp key abc123 address 192.168.1.1 crypto ipsec

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q

思科ASA防火墙与山石防火墙进行IPSec对接

使用环境:客户分支通过ASA防火墙通过PPOE拨号接入internet,总部Hillstone防火墙有独立的公网IP地址.两端对接实现网内相互访问 ASA防火墙端配置当前ASA的版本信息如下: 主要配置如下:object network LAN_NATsubnet 10.11.2.0 255.255.255.0 object network DC_01subnet 172.16.0.0 255.240.0.0 nat (inside,outside) source static LAN_NAT

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)

前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了. 该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,可以参考以下博文(路由器和防火墙的虚拟专用网原理类似,可参考): Cisco路由器之Easy虚拟专用

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

Cisco ASA 实现 IPSec 虚拟专用网(内附故障排查)

传送门:Cisco 路由器配置实例: https://blog.51cto.com/14227204/2448319其实,防火墙和路由器的配置非常相似,可以参考上方传送门,下方会介绍一个防火墙的配置实例一.路由器的故障诊断排查1.show crypto isakmp sa R1:show crypto isakmp sa # 可以显示数据连接sa的细节信息 MM_NO_STATE :ISAKMP SA建立的初始状态:管理连接建立失败也会处于该状态MM_SA_SETUP :对等体之间ISAKMP策