ASA防火墙穿越NAT设备与路由器做ipsecVPN

一、 实验任务及思路:

1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接。

2. C1与C2先后互ping,比较ipsecVPN连接情况

二、  实验拓扑:

三、  IP地址规划:

  

C1

192.168.10.10/24

ASA1
e0/1
192.168.10.1/24

e0/0
172.16.11.1/24

R1
f0/0
172.16.11.2/24

f0/1
12.0.0.1/24

R2
f0/0
12.0.0.2/24

f0/1
23.0.0.2/24

R3
f0/0
23.0.0.3/24

f0/1
192.168.20.1/24

C2
192.168.20.20/24

四、  配置文件:

1.  ASA1的配置

ciscoasa# conf t

ciscoasa(config)#int e0/0

ciscoasa(config-if)#nameif outside  //定义逻辑名称为outside

INFO: Securitylevel for "outside" set to 0 by default.

ciscoasa(config-if)#ip add 172.16.11.1 255.255.255.0 //配置IP地址

ciscoasa(config-if)#no shut

ciscoasa(config-if)#int e0/1

ciscoasa(config-if)#nameif inside  //定义逻辑名称为inside

INFO: Securitylevel for "inside" set to 100 by default.

ciscoasa(config-if)#ip add 192.168.10.1 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#show ip

ciscoasa(config)#route outside 0 0 172.16.11.2  //做向外默认路由

ciscoasa(config)#access-list 10 permit icmp any any  //配置入站理解acl

ciscoasa(config)#access-group 10 in interface outside

ciscoasa(config)#crypto isakmp enable outside  //启用ISAKMAP/IKE

ciscoasa(config)#crypto isakmp policy 1  //配置安全策略,数字表示优先级

ciscoasa(config-isakmp-policy)#encryption 3des  //告诉对端使用的对称加密算法

ciscoasa(config-isakmp-policy)#hash md5  //md5算法

ciscoasa(config-isakmp-policy)#authentication pre-share //身份认证方式为与共享密钥

ciscoasa(config-isakmp-policy)#group 2  //DH密钥组为2

ciscoasa(config)#tunnel-group 23.0.0.3 type ipsec-l2l//配置预共享密钥

ciscoasa(config)#tunnel-group 23.0.0.3 ipsec-attributes

ciscoasa(config-tunnel-ipsec)#pre-shared-key mmsabc  //防火墙是用遂道来配置密钥

ciscoasa(config)#access-list 101 permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0  //定义感兴趣的流量

ciscoasa(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac  //交换数据连接的传输集

ciscoasa(config)#crypto map vpnmap 1 match address 101

ciscoasa(config)#crypto map vpnmap 1 set peer 23.0.0.3

ciscoasa(config)#crypto map vpnmap 1 set transform-set vpnset

ciscoasa(config)#crypto map vpnmap interface outside  //配置CrytoMap并将Cryto Map应用到outside接口上

2.  R1的配置

R1#conf t

R1(config)#intf0/0

R1(config-if)#ipadd 172.16.11.2 255.255.255.0

R1(config-if)#noshut

R1(config-if)#intf0/1

R1(config-if)#ipadd 12.0.0.1 255.255.255.0

R1(config-if)#noshut

R1(config-if)#doshow ip int b

R1(config)#iproute 23.0.0.0 255.255.255.0 12.0.0.2

R1(config)#iproute 192.168.10.0 255.255.255.0 172.16.11.1

R1(config)#intf0/0

R1(config-if)#ipnat inside

R1(config-if)#intf0/1

R1(config-if)#ipnat outside  //在进、出口开启nat

R1(config)#access-list100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

R1(config)#access-list100 permit ip 192.168.10.0 0.0.0.255 any  //配置PAT 规则,阻止源IP地址为192.168.10.0/24目标IP地址为192.168.20.0/24的流量被PAT

R1(config)#ip natinside source list 100 interface f0/1 overload

R1(config)#ip natinside source static udp 172.16.11.1 500 interface f0/1 500  //配置ISAKMP管理连接的静态端口映射

R1(config)#ip natinside source static udp 172.16.11.1 4500 interface f0/1 4500 //配置ISAKMP数据连接的静态端口映射

3.  R2的配置

R2#conf t

R2(config)#intf0/0

R2(config-if)#ipadd 12.0.0.2 255.255.255.0

R2(config-if)#noshut

R2(config-if)#intf0/1

R2(config-if)#ipadd 23.0.0.2 255.255.255.0

R2(config-if)#noshut

R2(config-if)#doshow ip int b

4.  R3的配置

R3#conf t

R3(config)#intf0/0

R3(config-if)#ipadd 23.0.0.3 255.255.255.0

R3(config-if)#noshut

R3(config-if)#intf0/1

R3(config-if)#ipadd 192.168.20.1 255.255.255.0

R3(config-if)#noshut

R3(config-if)#doshow ip int b

R3(config)#iproute 0.0.0.0 0.0.0.0 23.0.0.2

R3(config)#cryptoisakmp policy 1  //配置ISAKMP安全策略,优先级为1

R3(config-isakmp)#encryption3des //告诉对端使用的对称加密算法

R3(config-isakmp)#hashmd5  //md5算法

R3(config-isakmp)#authenticationpre-share  //身份认证方式为与共享密钥

R3(config-isakmp)#group2  //DH密钥组为2

R3(config-isakmp)#cryptoisakmp key 0 mmsabc address 12.0.0.1  //配置预共享密钥,地址为对端的地址

R3(config)#cryptoipsec transform-set vpnset esp-3des esp-md5-hmac  //配置传输集beset,设置对数据的加密方式

R3(cfg-crypto-trans)#cryptomap vpnmap 1 ipsec-isakmp  //定义cryptomap调用感兴趣流量并且设置传输集

R3(config-crypto-map)#setpeer 12.0.0.1  //指定对端IP

R3(config-crypto-map)#settransform-set vpnset  //调用传输集vpnset

R3(config-crypto-map)#matchaddress 101  //调用列表101

R3(config-crypto-map)# access-list 101permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.25   //定义感兴趣的流量

R3(config)#intf0/0

R3(config-if)#cryptomap vpnmap  //将crypto map 应用到接口

5.  给C1和C2配IP地址

五、  结果验证 :

1.  C2ping C1

在ASA1上查看

ciscoasa(config)# show crypto isakmp sa

ciscoasa(config)# show crypto isakmp sa detail

在R3上查看

R3#show crypto isakmp sa

R3#show crypto isakmp sa detail

2.  C1pingC2

R3#clear crypto isakmp

R3#clear crypto sa

ciscoasa(config)# clear crypto isakmp

在ASA1上查看

ciscoasa(config)#show crypto isakmp sa

ciscoasa(config)#show crypto isakmp sa detai

在R3是查看

R3#show crypto isakmp sa

R3#show crypto isakmp sa detail

六、  结论:

比较C1通过ASA1触发ipsecVPN和C2通过R3触发ipsecVPN的理解情况,没有什么大不同,只不过ASA1防火墙通过nat设备R1的外网IP地址做静态远射成为其ipsecVPN对等体本端地址

时间: 2024-08-06 03:34:45

ASA防火墙穿越NAT设备与路由器做ipsecVPN的相关文章

ASA防火墙配置NAT

在ASA防火墙配置NAT分为4种类型:动态NAT.动态PAT.静态NAT.静态PAT.结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法: ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0 #声明内部地址,nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-30.1.1.200 #声明全局地址,nat-id与内部nat-id相对应 测试一下,查看ASA地址转

cisco 5505 与cisco路由器做ipsecVPN遇到的问题解决

cisco 路由器做ipsecVPN的时候 能建立起来 但是双方内网不通,这个问题一般都是nat的问题  你想让一个网段不走nat 走vpn的话 你要先deny这个网段到对端网段  然后在permit这个网段到对端网段 先拒绝再允许 目的地是any的放到后面 这样acl匹配的时候从上往下 只要去往vpn的流量自然被拒绝不走nat转换了 access-list 101 deny ip 10.70.1.0 0.0.0.255  192.168.70.0 0.0.0.255          acce

思科ASA防火墙之NAT

实验拓扑 软件版本GN3 0.8.6  ASA镜像8.0(2) 实验环境 R1和R2模拟公司内网,R3模拟互联网设备.ASA作为公司出口,实现NAT地址转换 实验需求 在ASA上做动态NAT实现对R1 loopback 0 网段的地址转换 在ASA上做动态PAT实现对R1 loopback 1 网段的地址转换 在ASA上做静态NAT实现对R2 loopback 0 地址经行转换 在ASA上做静态PAT实现将R2的F0/0的23端口映射为218.1.1.1这个地址的23端口 地址规划 R1 loo

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

SIP穿越NAT SIP穿越防火墙-SBC

FireWall&NAT FireWall是一种被动网络安全防卫技术,位于网络的边界,在两个网络之间执行访问控制策略,防止外部网络对内部信息资源的非法访问,也可以阻止特定信息从内部网络被非法输出.一般来说,防火墙将过滤掉所有不请自到的网络通信(除指定开放的地址和端口). NAT技术分为基本的网络地址转换技术(NAT)和网络地址与端口转换技术(NAPT,Network Address and Port Translator),其主要功能是为流出内网的分组分配一个全局的IP地址和端口号作为其源地址和

ASA防火墙应用配置(NAT和PAT)

                                         实验配置ASA应用(NAT和PAT) inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1 C3是server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1 C2是linux服务器并且提供APACHE服务,ip地址192.168.10.1

Cisco ASA站点间穿越nat互相访问的实验

1. 实验拓扑图: 1. 实验说明: R1作为A公司的站点1,内部有台1.1.1.1/32的服务器需要A公司站点2的管理员实行远程telnet的设备管理: R5作为A公司的站点2,内部有台2.2.2.2/32的服务器需要A公司站点1的管理员实行远程telnet的设备管理: 设备之间都有ASA防火墙的安全保护,R2作为互联网的一台路由器: 2. 实验配置: R1#show  run usernamecisco password 0 cisco ! interfaceLoopback0       

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q

基于ASA防火墙做URL地址过滤

下面直接开始操作实验过程.SW1和SW2上面只需要关闭路由功能就行.下面是在ASA防火墙上的操作,启动ASA的startup-config配置文件. 然后配置ASA防火墙的IP地址,设置相应的区域,并且做了一个NAT地址转换. 此时配置完成就可以互相连通了.下面来检查客户机的IP地址配置,本地连接2回环网卡的配置如下所示. 下面再来检查linux服务器的IP地址配置,首先查看连接网卡VMnet1要和拓扑图衔接,宿主机上的VMnet1设置为自动获取就行. 编辑linux服务器的IP地址.子网掩码和