ASA防火墙穿越NAT设备与路由器做ipsecVPN

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一、 实验任务及思路:

1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接。

2. C1与C2先后互ping,比较ipsecVPN连接情况

二、  实验拓扑:

技术分享

三、  IP地址规划:

  

C1

  

192.168.10.10/24

ASA1

e0/1

192.168.10.1/24

e0/0

172.16.11.1/24

R1

f0/0

172.16.11.2/24

f0/1

12.0.0.1/24

R2

f0/0

12.0.0.2/24

f0/1

23.0.0.2/24

R3

f0/0

23.0.0.3/24

f0/1

192.168.20.1/24

C2


192.168.20.20/24

四、  配置文件:

1.  ASA1的配置

ciscoasa# conf t

ciscoasa(config)#int e0/0

ciscoasa(config-if)#nameif outside  //定义逻辑名称为outside

INFO: Securitylevel for "outside" set to 0 by default.

ciscoasa(config-if)#ip add 172.16.11.1 255.255.255.0 //配置IP地址

ciscoasa(config-if)#no shut

ciscoasa(config-if)#int e0/1

ciscoasa(config-if)#nameif inside  //定义逻辑名称为inside

INFO: Securitylevel for "inside" set to 100 by default.

ciscoasa(config-if)#ip add 192.168.10.1 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#show ip

技术分享

ciscoasa(config)#route outside 0 0 172.16.11.2  //做向外默认路由

ciscoasa(config)#access-list 10 permit icmp any any  //配置入站理解acl

ciscoasa(config)#access-group 10 in interface outside

ciscoasa(config)#crypto isakmp enable outside  //启用ISAKMAP/IKE

ciscoasa(config)#crypto isakmp policy 1  //配置安全策略,数字表示优先级

ciscoasa(config-isakmp-policy)#encryption 3des  //告诉对端使用的对称加密算法

ciscoasa(config-isakmp-policy)#hash md5  //md5算法

ciscoasa(config-isakmp-policy)#authentication pre-share //身份认证方式为与共享密钥

ciscoasa(config-isakmp-policy)#group 2  //DH密钥组为2

ciscoasa(config)#tunnel-group 23.0.0.3 type ipsec-l2l//配置预共享密钥

ciscoasa(config)#tunnel-group 23.0.0.3 ipsec-attributes

ciscoasa(config-tunnel-ipsec)#pre-shared-key mmsabc  //防火墙是用遂道来配置密钥

ciscoasa(config)#access-list 101 permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0  //定义感兴趣的流量

ciscoasa(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac  //交换数据连接的传输集

ciscoasa(config)#crypto map vpnmap 1 match address 101

ciscoasa(config)#crypto map vpnmap 1 set peer 23.0.0.3

ciscoasa(config)#crypto map vpnmap 1 set transform-set vpnset

ciscoasa(config)#crypto map vpnmap interface outside  //配置CrytoMap并将Cryto Map应用到outside接口上

2.  R1的配置

R1#conf t

R1(config)#intf0/0

R1(config-if)#ipadd 172.16.11.2 255.255.255.0

R1(config-if)#noshut

R1(config-if)#intf0/1

R1(config-if)#ipadd 12.0.0.1 255.255.255.0

R1(config-if)#noshut

R1(config-if)#doshow ip int b

技术分享

R1(config)#iproute 23.0.0.0 255.255.255.0 12.0.0.2

R1(config)#iproute 192.168.10.0 255.255.255.0 172.16.11.1

R1(config)#intf0/0

R1(config-if)#ipnat inside

R1(config-if)#intf0/1

R1(config-if)#ipnat outside  //在进、出口开启nat

R1(config)#access-list100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

R1(config)#access-list100 permit ip 192.168.10.0 0.0.0.255 any  //配置PAT 规则,阻止源IP地址为192.168.10.0/24目标IP地址为192.168.20.0/24的流量被PAT

R1(config)#ip natinside source list 100 interface f0/1 overload

R1(config)#ip natinside source static udp 172.16.11.1 500 interface f0/1 500  //配置ISAKMP管理连接的静态端口映射

R1(config)#ip natinside source static udp 172.16.11.1 4500 interface f0/1 4500 //配置ISAKMP数据连接的静态端口映射

3.  R2的配置

R2#conf t

R2(config)#intf0/0

R2(config-if)#ipadd 12.0.0.2 255.255.255.0

R2(config-if)#noshut

R2(config-if)#intf0/1

R2(config-if)#ipadd 23.0.0.2 255.255.255.0

R2(config-if)#noshut

R2(config-if)#doshow ip int b

技术分享

4.  R3的配置

R3#conf t

R3(config)#intf0/0

R3(config-if)#ipadd 23.0.0.3 255.255.255.0

R3(config-if)#noshut

R3(config-if)#intf0/1

R3(config-if)#ipadd 192.168.20.1 255.255.255.0

R3(config-if)#noshut

R3(config-if)#doshow ip int b

技术分享

R3(config)#iproute 0.0.0.0 0.0.0.0 23.0.0.2

R3(config)#cryptoisakmp policy 1  //配置ISAKMP安全策略,优先级为1

R3(config-isakmp)#encryption3des //告诉对端使用的对称加密算法

R3(config-isakmp)#hashmd5  //md5算法

R3(config-isakmp)#authenticationpre-share  //身份认证方式为与共享密钥

R3(config-isakmp)#group2  //DH密钥组为2

R3(config-isakmp)#cryptoisakmp key 0 mmsabc address 12.0.0.1  //配置预共享密钥,地址为对端的地址

R3(config)#cryptoipsec transform-set vpnset esp-3des esp-md5-hmac  //配置传输集beset,设置对数据的加密方式

R3(cfg-crypto-trans)#cryptomap vpnmap 1 ipsec-isakmp  //定义cryptomap调用感兴趣流量并且设置传输集

R3(config-crypto-map)#setpeer 12.0.0.1  //指定对端IP

R3(config-crypto-map)#settransform-set vpnset  //调用传输集vpnset

R3(config-crypto-map)#matchaddress 101  //调用列表101

R3(config-crypto-map)# access-list 101permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.25   //定义感兴趣的流量

R3(config)#intf0/0

R3(config-if)#cryptomap vpnmap  //crypto map 应用到接口

5.  给C1和C2配IP地址

技术分享

五、  结果验证 :     

1.  C2ping C1

技术分享

在ASA1上查看

ciscoasa(config)# show crypto isakmp sa

技术分享

ciscoasa(config)# show crypto isakmp sa detail

技术分享

在R3上查看

R3#show crypto isakmp sa

技术分享

R3#show crypto isakmp sa detail

技术分享

2.  C1pingC2

R3#clear crypto isakmp

R3#clear crypto sa

ciscoasa(config)# clear crypto isakmp

技术分享

在ASA1上查看

ciscoasa(config)#show crypto isakmp sa

技术分享

ciscoasa(config)#show crypto isakmp sa detai

l 技术分享

在R3是查看

R3#show crypto isakmp sa

技术分享

R3#show crypto isakmp sa detail

技术分享

六、  结论:

比较C1通过ASA1触发ipsecVPN和C2通过R3触发ipsecVPN的理解情况,没有什么大不同,只不过ASA1防火墙通过nat设备R1的外网IP地址做静态远射成为其ipsecVPN对等体本端地址  


郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。