基于GNS3的ASA 5520虚拟防火墙功能测试

目的:
测试基于GNS3的ASA 8.4(2)的部分功能配置:
1 内网客户端访问外网;
2 外网访问内网服务器;
3 Lan-to-Lan IPSEC ×××;

####################################################################################
实验拓扑:

####################################################################################
一 内网客户端通过防火墙访问外网
PC:设置IP 192.168.1.2,gateway: 192.168.1.1
R1: F0/0 192.168.1.1/24
F1/0 192.168.2.1/24
Default gateway: ip route 0.0.0.0 0.0.0.0192.168.2.2

ASA-1:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.2.2 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
access-list in-2-out extended permit ip any any
access-group in-2-out in interface outside
nat (inside,outside) source dynamic any interface

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
route inside 192.168.1.0 255.255.255.0 192.168.2.1 1

测试:
PC-1> ping 172.16.1.3
84 bytes from 172.16.1.3 icmp_seq=1 ttl=254 time=269.845 ms
84 bytes from 172.16.1.3 icmp_seq=2 ttl=254 time=101.949 ms
84 bytes from 172.16.1.3 icmp_seq=3 ttl=254 time=159.903 ms
84 bytes from 172.16.1.3 icmp_seq=4 ttl=254 time=181.896 ms
84 bytes from 172.16.1.3 icmp_seq=5 ttl=254 time=208.890 ms

R1#ssh -l root 172.16.1.3
Password:
R3>

#####################################################################################
二 外网访问内网服务器
前面配置不变,添加如下配置:
object network 172.16.1.10
host 172.16.1.10 #公网地址
object network 2.1_telnet
host 192.168.2.1 #内网地址
nat (inside,outside) static 172.16.1.10 service tcp telnet telnet #映射地址
注:外部接口的端口映射始终无法做通,尝试了不同方法,
1 添加policy;
2 添加策略。
始终不行,怀疑是防火墙版本或者虚拟机的问题,其余配置如下:
object network 2.1_ssh
host 192.168.2.1
nat (inside,outside) static interface service tcp ssh ssh

测试结果:
R3#telnet 172.16.1.10
Trying 172.16.1.10 ... Open
User Access Verification
Username: root
Password:
R1>en

##################################################################################
三 L2L IPSEC ×××
前面配置不变,添加如下配置:
object network inside
subnet 192.168.1.0 255.255.255.0 #定义本端网络地址

object network remote-site-address #定义远端网络地址
subnet 192.168.4.0 255.255.255.0

nat (inside,outside) source static inside inside destination static remote-site-address remote-site-address # 设置感兴趣流避免NAT

crypto ipsec ikev1 transform-set test esp-3des esp-md5-hmac
crypto map crymap 10 match address ***
crypto map crymap 10 set peer 172.16.1.2
crypto map crymap 10 set ikev1 transform-set test
crypto map crymap interface outside
crypto ikev1 enable outside #定义 crypto map参数并应用到外网接口,172.16.1.2为对端公网
地址。

crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400 #定义 IPSEC第一阶段加密参数

tunnel-group 172.16.1.2 type ipsec-l2l
tunnel-group 172.16.1.2 ipsec-attributes
ikev1 pre-shared-key ***** #定义隧道类型并设置第一阶段共享密码

测试:
PC-1> ping 192.168.4.2
192.168.4.2 icmp_seq=1 timeout
192.168.4.2 icmp_seq=2 timeout
84 bytes from 192.168.4.2 icmp_seq=3 ttl=62 time=229.871 ms
84 bytes from 192.168.4.2 icmp_seq=4 ttl=62 time=400.765 ms
84 bytes from 192.168.4.2 icmp_seq=5 ttl=62 time=91.948 ms
注意:由于刚开始隧道还没有建议,因此会有几个丢包,正常!

对端PING
PC-2> ping 192.168.1.2
84 bytes from 192.168.1.2 icmp_seq=1 ttl=62 time=350.800 ms
84 bytes from 192.168.1.2 icmp_seq=2 ttl=62 time=228.867 ms
84 bytes from 192.168.1.2 icmp_seq=3 ttl=62 time=206.881 ms
84 bytes from 192.168.1.2 icmp_seq=4 ttl=62 time=299.828 ms
84 bytes from 192.168.1.2 icmp_seq=5 ttl=62 time=284.829 ms

################################################################################
ASA部分诊断命令如下:
show run nat
show run object-network
show run object-group
show nat detail
show xlate
show conn
show nat pool
debug nat 255

原文地址:http://blog.51cto.com/goldream/2336667

时间: 2024-09-28 21:06:30

基于GNS3的ASA 5520虚拟防火墙功能测试的相关文章

ASA 5520 内网互访实验

ASA 5520内网端口互访实验 测试如何实现ASA5520不同内网端口同时安全级别不一样额内网端口间的 互访配置.测试如何实现ASA5520不同内网端口但是相同安全级别间的端口的互访. 实验环境:基于GNS3的虚拟环境,ASA版本为8.4(2) 试验拓扑: Router1 基本配置:ip domain name test.comusername root secret 5 $1$/3e0$pTshnFze2RSAvILS1t6Ak/interface Loopback0ip address 1

基于GNS3的ssl配置

闲来无事,利用gns3配置了基于cisco asa的ssl链接测试,cloud-1链接本地网络,测试通过 1.配置目标:便于移动办公用户接入公司内部网络,通过内部网络访问ecs服务器2.材料:gns3.asa.anyconnect-win.c7200.pc3.常规网络结构如下:说明:1.r1路由器为边界路由器:主要配置为接入互联网和配置防火墙outside的地址映射2.asa负责ssl的请求终结,提供inside端的nat功能3.fortGate不在本次实验范围之内配置:主要是asa的接入配置:

云宏大讲坛 | 灵活轻便的云宏CNware虚拟防火墙

防火墙是位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出,是系统的第一道防线,其作用是防止非法用户的进入.虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源.管理员.安全策略.用户认证数据库等. 以上描述的防火墙一般用于数据中心内部网络和外部网络之间,而云宏君接下来描述的虚拟防火墙则有所不同,它用于数据中心内部网络中虚拟机与虚拟机.虚拟机与物理机之间的网络通信,是一种虚拟网络的

实现基于mysql验证的vsftpd虚拟用户 (centos6)

实现基于mysql验证的vsftpd虚拟用户 (centos6) 说明:本实验在两台Cento主机上实现,一台作为FTP服务器,一台作为数据库服务器 FTP服务器ip:172.16.250.90 Mysql服务器ip:172.16.252.16 一.安装ftp服务器安装包 yum install vsftpd pam_mysql 二.数据库服务器创建虚拟用户帐号   1.建立虚拟用户数据库      mysql> create database vsftpd;     mysql> show 

FTP服务学习笔记之基于MySQL+PAM的vsftpd虚拟用户

基于mysql+PAM的vsftpd虚拟用户配置 一.实验说明 操作系统:Redhat5.8_X64bit 实验平台:VMware Workstation 所需要的软件包:pam_mysql-0.7RC1.tar.gz 二.安装所需要程序 1.事先安装好开发环境和mysql数据库 # yum -y groupinstall "Development Tools" "Development Libraries" #yum -y install mysql-server

防火墙配置十大任务之十,构建虚拟防火墙

防火墙配置任务十 构建虚拟防火墙 任务拓扑图10.1 1.inside区域的交换机的基本配置,在交换机上开启vlan2,vlan3,vlan4.三个vlan. 图10.2 2.outside区域的Internet基本配置. 图10.3 3.交换机上连接防火墙接口的配置. 图10.4 4.inside区域各个PC的主机的配置. 图10.5 5.防火墙上的基本配置,开启inside,outside接口,进入系统配置下,在接口e1上创建子接口,并为各个子接口进行封装. 图10.6 6.创建管理防火墙,

基于GNS3思科路由器实现的静态路由

实验拓扑: 实验说明:R1和R2之间的网段为24位的12.1.1.0直连网段,若没有配置路由协议,R1和R2之间的环回接口是不能相互ping通的,本实验是基于GNS3思科模拟路由器部署静态路由(两种配置方法)实现环回接口间的互通.实验步骤:1. 为各路由器配置IP地址,并保证其直连的连通性:在R1配置IP地址:在R2配置IP地址:在R1上验证两台路由器的连通性(保证前提两台路由器直连是连通的):2. 在R1和R2上分别部署静态路由(两种配置方法):在R1上配置的静态路由为下一跳的IP地址:在R2

放弃antd table,基于React手写一个虚拟滚动的表格

缘起 标题有点夸张,并不是完全放弃antd-table,毕竟在react的生态圈里,对国人来说,比较好用的PC端组件库,也就antd了.即便经历了2018年圣诞彩蛋事件,antd的使用者也不仅不减,反而有所上升. 客观地说,antd是开源的,UI设计得比较美观(甩出其他组件库一条街),而且是蚂蚁金服的体验技术部(一堆p7,p8,p9,基本都是大牛级的)在持续地开发维护,质量可以信任. 不过,antd虽好,但一些组件在某一些场景下,是很不适用的.例如,以表格形式无限滚动地展示大量数据(1w+)时,

nginx篇最初级用法之三种虚拟主机基于域名\基于端口\基于IP地址端口的虚拟主机

在nginx中虚拟主机的类型与apache一样也有三种 1.基于域名的虚拟主机 2.基于端口的虚拟主机 3.基于IP地址端口的虚拟主机 在nginx配置文件中每一个server为一个虚拟主机如果需要多个虚拟主机只需要添加server即可例如 server{ listen 80; server_name www.lqinghua.com   //基于域名的虚拟主机 location / { root def; index index.html; } } server{ listen 8080;