ASA防火墙上配置IPSEC VPN和SSL VPN

二:实验要求:
1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以和总公司的PC2通信.(Site-to-Site IPSEC VPN实现)

2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现)
三:配置过程:
1:基本配置:
ASA1(config)# int e0/1
ASA1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)# ip add 172.16.1.254 255.255.255.0
ASA1(config-if)# no sh
ASA1(config-if)# int e0/0
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)# ip add 12.0.0.1 255.255.255.0
ASA1(config-if)# no sh
ASA1(config-if)#
ASA1# ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/344/1670 ms

R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 23.0.0.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f2/0
R1(config-if)#ip add 1.1.1.254 255.255.255.0
R1(config-if)#no sh

ASA2(config)# int e0/0
ASA2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA2(config-if)# ip add 23.0.0.3 255.255.255.0
ASA2(config-if)# no sh
ASA2(config-if)# int e0/1
ASA2(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA2(config-if)# ip add 192.168.1.254 255.255.255.0
ASA2(config-if)# no sh

配置路由,NAT,ACL

ASA1(config)# route outside 0 0 12.0.0.2
ASA1(config)# nat-control
ASA1(config)# nat (inside) 1 0 0
ASA1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA1(config)# access-list haha permit icmp any any
ASA1(config)# access-group haha in interface outside

ASA2(config)# route outside 0 0 23.0.0.2
ASA2(config)# nat-con
ASA2(config)# nat-control
ASA2(config)# nat (inside) 1 0 0
ASA2(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA2(config)# access-list haha permit icmp any any
ASA2(config)# access-group haha in interface outside

私网上公网没问题,但两个私网无法互通
2:配置Site-to-Site VPN
ASA1(config)# access-list no-nat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA1(config)# nat (inside) 0 access-list no-nat

ASA2(config)# access-list no-nat permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0
ASA2(config)# nat (inside) 1 access-list no-nat

ASA1(config)# crypto isakmp enable outside
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# encryption des
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# group 2
ASA1(config-isakmp-policy)# exit
ASA1(config)# isakmp key cisco address 23.0.0.3
ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md
ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmac
ASA1(config)# crypto map mymap 10 set peer 23.0.0.3
      
ASA1(config)# crypto map mymap 10 set transform-set mytrans
ASA1(config)# crypto map mymap 10 match address no-nat
ASA1(config)# crypto map mymap interface outside

ASA2(config)# crypto isakmp enable outside
ASA2(config-isakmp-policy)# authentication pre-share
ASA2(config-isakmp-policy)# encryption des
ASA2(config-isakmp-policy)# hash md5
ASA2(config-isakmp-policy)# group 2
ASA2(config-isakmp-policy)# exit
ASA2(config)# isakmp key cisco address 12.0.0.1
ASA2(config)# crypto ipsec transform-set mytrans esp-des esp-md
ASA2(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmac
ASA2(config)# crypto map mymap 10 set peer 12.0.0.1
      
ASA2(config)# crypto map mymap 10 set transform-set mytrans
ASA2(config)# crypto map mymap 10 match address no-nat
ASA2(config)# crypto map mymap interface outside

Site-to-Site IPSEC 配置完成.

ASA2(config)# webvpn
ASA2(config-webvpn)# enable outside
INFO: WebVPN and DTLS are enabled on ‘outside‘.
ASA2(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkg
ASA2(config-webvpn)# svc enable
ASA2(config-webvpn)# exit

ASA2(config)# username cisco password cisco
ASA2(config)# ip local pool vpn 192.168.100.1-192.168.100.200
ASA2(config)# access-list 100 permit ip 192.168.1.0 255.255.255.0 any

ASA2(config)# group-policy my10 internal
ASA2(config)# group-policy my10 attributes
ASA2(config-group-policy)# vpn-tunnel-protocol webvpn svc
ASA2(config-group-policy)# split-tunnel-policy tunnelspecified
ASA2(config-group-policy)# split-tunnel-network-list value 100
ASA2(config-group-policy)# webvpn
ASA2(config-group-webvpn)# svc ask enable
ASA2(config-group-webvpn)# exit
ASA2(config-group-policy)# exit

ASA2(config)# tunnel-group jishu type webvpn       
ASA2(config)# tunnel-group jishu general-attributes
ASA2(config-tunnel-general)# address-pool vpn
ASA2(config-tunnel-general)# default-group-policy my10
ASA2(config-tunnel-general)# webvpn
ASA2(config-webvpn)# tunnel-group-list enable
ASA2(config-webvpn)# tunnel-group jishu webvpn-attributes
ASA2(config-tunnel-webvpn)# group-alias 2t39

SSL VPN配置完毕.

access-list sslvpn extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0

nat (inside) 0 access-list sslvpn

时间: 2024-08-10 00:04:45

ASA防火墙上配置IPSEC VPN和SSL VPN的相关文章

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下. 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替 关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介

ASA防火墙上实现IPSec 虚拟专用网

1.虚拟专用网可以通过IPSec 虚拟专用网原理与配置理解虚拟专用网 2.IPsec 虚拟专用网故障排查 (show crypto isakmp)通过它可以了解管理连接所处的状态 (debug crypto isakmp ) 通过该命令是实际工作中最常用于诊断和排查管理连接出现问题的命令 3.防火墙与路由器的区别 IKE协商默认是否开启默认情况下,IKE协商在路由器中是开启的,而在ASA防火墙中是关闭的 隧道组特性引入 接口安全级别对于IPSec流量的影响 ASA(config)#same-se

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

在ASA防火墙上实现SSL-VPN(胖客户端模式)

实验拓扑: 图中R2模拟公网,假设某公司有一个服务器C2(windows server 2008系统,ip地址为192.168.10.2)公司的某员工需要远程访问这台服务器,C1为该员工用的客户端电脑(windows XP系统),R1是192.168.1.0内网的出口路由 实验要求: 1.192.168.1.0和192.168.10.0两个内网可以访问公网 2.在防火墙上用胖客户端模式做SSL-VPN实现C1可以访问C2 实验步骤: 首先为每个设备配置ip地址和路由 R1(config-if)#

SSL VPN 配置

一.配置环境 前言:SSL VPN一般配置在ASA防火墙上,而且一般用图形界面配置,命令行方式配置太多.这里因为做实验我们使用路由器来配置,路由器ios只能使用7200系列的,下面的实验设备都是用路由器来模拟的 如下图,在路由器上配置SSL VPN,使得客户端client能够通过SSL VPN访问服务器 基础配置:配置IP.路由,server打开http 二.SSL VPN 配置 1.  同步时间 为什么要同步时间:因为证书是有有效期的,如果时间不同步就没用了 方法1:直接设置时间,设置完成后通

用网络访问控制来强化SSL VPN网络安全

很多公司已经改进了其IPsec VPN,有的甚至用基于SSL的远程访问解决方案替换掉了IPsec VPN.SSL VPN能够在任何未经管理的家用或公用电脑上使用,当要决定是否允许访问公司网络资源时,评价远程端点的安全性是至关重要的.我们将探讨用网络访问控制(NAC)功能来加强SSL VPN网络的安全性的原因和措施,并讨论其与NAC优先权的关系. 机会与风险 将浏览器用作客户端平台,SSL VPN使用户远程访问IT难以控制的设备成为可能,无论从家用PC还是商业伙伴的便携式电脑或者PDA设备都是如此

Cisco ASA 应用NAT配置详解

ASA 防火墙上NAT的基本原理与路由器上一样,只不过只用定义一下内网地址和进行转换后的地址就可以了,不需要进入接口再应用了.基本上两条命令即可完成一种NAT的配置.ASA上的NAT有动态NAT.动态PAT.静态NAT和静态PAT四种类型. 1.动态NAT(可以说是一对一,但不是静态的,一般不使用动态NAT)的配置步骤如下: 将内网10.0.0.0/8进行NAT转换为170.16.1.100~172.16.1.200: ciscoasa(config)# nat (inside) 1 10.0.

故障解决之在防火墙上实现ECMP功能

故障解决之在防火墙上实现链路负载 一.网络拓扑 二.基本配置 1.职场的网关是Juniper的EX4200,配置有vlan524 :10.63.224.0/24和vlan525 :10.63.225.0/24.配置默认路由下一跳指向防火墙. 2.在防火墙SSG550-1上连接两条互联网专线(电信.移动),配置了两条默认路由下一跳分别指向运营商.如下图: 3.在防火墙上配置回指路由. 4.在防火墙上设置224网段通过电信专线访问互联网,225网段通过移动专线访问互联网. 5.添加防火墙策略 二.故