IPSec ***基于ASA的配置（思科）

IPSec ×××基于ASA的配置
实现某软件开发公司在中小城市建立了分公司，
分公司开发项目小组所在网络地址为 10.1.1.0/24，
该网络的主机可以通过×××访问总公司开发数据服务器（192.168.1.0/24）。
分公司的其他客户端（10.2.2.0/24网段）可以访问Internet。
根据上述需求，网络管理员需要在分公司的ASA1上同时配置×××和PAT。

1．分公司的ASA1
路由方面的配置 route outside 0.0.0.0 0.0.0.0 200.0.0.2
配置ISAKMP策略
ASA1(config)#crypto ikev1 enable outside
ASA1(config)#crypto ikev1 policy 1
ASA1(config-ikev1-policy)#encryption aes
ASA1(config-ikev1-policy)#hash sha
ASA1(config-ikev1-policy)#authentication pre-share
ASA1(config-ikev1-policy)#group 2
R1(config)#crypto isakmp key tedu address 200.0.0.1
//之前在路由器上的这条命令在防火墙上变成以下配置：
ASA1 (config)# tunnel-group 200.0.0.2 type ipsec-l2l

ASA1 (config)# tunnel-group 200.0.0.2 ipsec-attributes
ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
配置ACL
ASA1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0
配置IPSec策略（转换集）
ASA1(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集 ASA1(config)#crypto map yf-map 1 match address 100 ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2
ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口
ASA1(config)#crypto map yf-map interface outside

2．总公司的ASA2
路由方面的配置 route outside 0.0.0.0 0.0.0.0 200.0.0.1
配置ISAKMP策略
ASA2(config)#crypto ikev1 enable outside
ASA2(config)#crypto ikev1 policy 1
ASA2(config-ikev1-policy)#encryption aes
ASA2(config-ikev1-policy)#hash sha
ASA2(config-ikev1-policy)#authentication pre-share
ASA2(config-ikev1-policy)#group 2
ASA2 (config)# tunnel-group 200.0.0.1 type ipsec-l2l
ASA2 (config)# tunnel-group 200.0.0.1 ipsec-attributes
ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置ACL
ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0

配置IPSec策略（转换集）
ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集
ASA2(config)#crypto map yf-map 1 match address 100
ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1
ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口
ASA2(config)#crypto map yf-map interface outside

测试： Client1访问Server1的Web

4．查看管理连接SA的状态

ASA1(config)# sh crypto isakmp sa

IKEv1 SAs:
Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1

1 IKE Peer: 200.0.0.2 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

clear crypto isakmp sa //清除

8．PAT方面的配置
ASA1(config)# object network ob-inside2
ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0
ASA1(config-network-object)# nat (inside2,outside) dynamic interface
PC1上网测试：ping 200.0.0.2

物理机抓包

转载于:https://blog.51cto.com/13562306/2069420

IPSec ***基于ASA的配置（思科）相关推荐

思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙
思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙继续我们的一系列关于思科ASA 5500防火墙的文章,我提供你在这里的基本配置教程思科ASA 5510安全设备.该设备 ...
基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置实验拓扑图实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
【文献翻译】基于SCAP的配置分析用于全面的合规性检查
目录摘要 I. 引言二. 背景 A.XCDF规范 B.ConfigChecker引擎三. xccdf分析引擎 A.XCCDF规则转换 B.查询层 C.基于Prolog的分析四. 实现和应用程序 ...
asa清空配置_Cisco ASA 高级配置
Cisco ASA 高级配置一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:I ...
Matplotlib可视化散点图、配置X轴为对数坐标、并使用线条（line）连接散点图中的数据点、基于分组变量配置数据点的颜色(connecting two coordinates with line
Matplotlib可视化散点图.配置X轴为对数坐标.并使用线条(line)连接散点图中的数据点.基于分组变量配置数据点的颜色(connecting two coordinates with line ...
Spring3.2.8+Mybatis3.2.6 多数据源基于BaseDAO的配置
Spring3.2.8+Mybatis3.2.6 多数据源基于BaseDAO的配置配置数据源为: MySQL5.5.6 H2Database 1.3.75 这个配置起来比较麻烦,本文这种方法有点麻烦 ...
Spring IoC — 基于注解的配置
基于XML的配置,Bean定义信息和Bean实现类本身是分离的,而采用基于注解的配置方式时,Bean定义信息即通过在Bean实现类上标注注解实现. @Component:对类进行标注,Spring容器 ...
apache基于ip如何配置虚拟主机
这篇文章将为大家详细讲解有关apache基于ip如何配置虚拟主机,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获. 首先我们用记事本打开httpd.conf文件 ,该 ...
win2003服务器通过ipsec做防火墙的配置方法
这篇文章主要介绍了win2003服务器通过ipsec做防火墙的配置方法,需要的朋友可以参考下 windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因 ...

IPSec ***基于ASA的配置（思科）

IPSec ***基于ASA的配置（思科）相关推荐

最新文章

热门文章