ASA防火牆實現IPSec ***

原創 王生強 2018-09-10 04:29

wKiom1hKGmnRDaYFAADbsRkCqHE946.png

目的:實現PC1與PC2通訊使用***隧道,PC1通過PAT能遠程telnet到R2。

1.建立連接.


pc1

int f 0/0

ip add 192.168.1.2 255.255.255.0 

no sh

exit

no ip routing

ip default-gateway 192.168.1.1


pc2


int f 0/0

ip add 192.168.2.2 255.255.255.0

no sh

exit

no ip routing

ip default-gateway 192.168.2.1



R1

int f 0/0

ip add 10.0.0.1 255.255.255.0

no sh

exit

int f 1/0

ip add 192.168.10.2 255.255.255.0

no sh 

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  

 //此acl定義nat需要轉換的私有地址,先將需要***轉換的地址拒絕掉

access-list 100 per ip any any

//這是需要nat轉換的私有地址

ip nat inside so li 100 int f 0/0 o

//啓用nat轉換,引用acl 100,符合acl 100的地址將被轉換

ip nat in so stat udp 192.168.10.1 4500 int f 0/0 4500  

ip nat in so stat udp 192.168.10.1 500 int f 0/0 500  (此4500和500的端口爲協議的端口號)

   

在R1路由器上實現nat-t穿越

int f 0/0

ip nat outside

int f 1/0

ip nat inside

ip route 0.0.0.0 0.0.0.0 10.0.0.2

ip route 192.168.1.0 255.255.255.0 192.168.10.1

# debug ip nat



R2

int f 0/0

ip add 10.0.0.2 255.255.255.0

no sh

int f 1/0

ip add 10.1.1.2 255.255.255.0

no sh

enab pass 123

line vty 0 4 

pass 123

login




ASA1


int e 0/1

ip add 192.168.10.1 255.255.255.0

no shut

nameif outside

secu 0

int e 0/0

ip add 192.168.1.1 255.255.255.0

no sh

nameif inside

secu 100

route outside 0 0 192.168.10.2

cry isa en out        

cry isa po 1 

en des

gr 2

au pr

hash sha

exit

cry isa key benet-key add 10.1.1.1

access-list 100 per ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0  

cry ipsec tran benet-set esp-des esp-sha-hmac 

cry map benet-map 1 set tran benet-set

cry map benet-map 1 set peer 10.1.1.1 

cry map benet-map 1 match add 100    

cry map benet-map int outside


ASA2


int  e 0/1

ip add 10.1.1.1 255.255.255.0

no sh

nameif outside

secu 0

exit

int e 0/0

ip add 192.168.2.1 255.255.255.0

no sh

nameif inside

secu 100

cry isa en ou

cry isa po 1

en des

gr 2

au pr

hash sha

exit

cry isa key benet-key add 10.0.0.1

access-list 100 per ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

cry ipsec tran benet-set esp-des esp-sha-hmac 

cry map benet-map 1 set peer 10.0.0.1

cry map benet-map 1 set tran benet-set

cry map benet-map 1 match add 100     

cry map benet-map int outside 

route outside 0 0 10.1.1.2


 

2.驗證。

在R1開始BEBUG測試是否正確,當PC1與PC2通訊是DEBUG測試不會顯示PC1的真實地址二是ASA的地址,當PC1遠程telnet到R2是則會顯示PC1真實地址的轉換過程。



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

教你打造一道超級防禦的電腦防火牆

lichenjing9 2019-02-23 14:06:52

第九章、防火牆與 NAT 伺服器------鳥哥的 Linux 私房菜

woaizca 2019-02-23 14:06:17

iptables的概述及應用(一)

shang61511 2019-02-23 14:04:46

linux 的DNS搭建

夢與時光眠 2019-02-23 13:51:55

CACTI 仙人掌監控平臺

夢與時光眠 2019-02-23 13:51:55

ShareTech 防火牆 使用手冊(適用型號:LB-2225)

yzy747 2019-02-23 13:50:59

dlink dfl-800

sly8259336 2019-02-23 13:49:40

信息系統安全管理以及風險管理

hua0221 2019-02-23 13:43:41

PIX515防火牆配置策略實例(二)

qinyihao 2019-02-23 13:29:34

iptables的詳細介紹及配置方法

qinyihao 2019-02-23 13:29:34

PIX515防火牆配置策略實例(一)

qinyihao 2019-02-23 13:29:33

防火牆的相關知識介紹及命令

譕淚寳唄 2019-02-23 13:28:55

迫使客戶機使用防火牆客戶端

zhanglong0123 2019-02-23 13:27:42

Cisco PIX防火牆配置命令大全

eddylin 2019-02-23 13:21:00

交換路由實現全網互通

程張飛 2019-02-23 13:37:42