IPSec—防火墙—Cisco实验

最新推荐文章于 2024-06-28 10:00:00 发布
最新推荐文章于 2024-06-28 10:00:00 发布
阅读量1.6k 收藏 18
点赞数 3
分类专栏: CISCO 文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adsedfewf/article/details/105345358
版权

防火墙之间用vpn通信

**理论知识请见:**上一篇关于IPsec的文章

实验拓扑图:
在这里插入图片描述

局域网1——ASA1配置:

ASA1> en

Password:

ASA1# conf t

ASA1(config)# int e0/0

ASA1(config-if)# ip add 192.168.1.1 255.255.255.0

ASA1(config-if)# no sh

ASA1(config-if)# nameif inside //划分内网区域

ASA1(config-if)# security-level 100 //优先级为·100

ASA1(config-if)# exit

ASA1(config)# int e0/1

ASA1(config-if)# ip add 1.0.0.1 255.255.255.0

ASA1(config-if)# no sh

ASA1(config-if)# nameif outside //划分外网区域

ASA1(config-if)# security-level 0 //优先级为0

ASA1(config-if)# exit

ASA1(config)# route outside 0.0.0.0 0.0.0.0 1.0.0.2 //宣告外网区域的外部路由

ASA1(config)# nat-control //开启nat控制

           //开启后,不做nat的网络是不可以进行通信的

ASA1(config)# nat (inside) 1 0 0 //nat转换组为1,转换内部的所有网段

ASA1(config)# global (outside) 1 interface //将nat转换组进行PAT转换

INFO: outside interface address added to PAT pool

ASA1(config)# access-list 100 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

//定义内网地址池

ASA1(config)# nat (inside) 0 access-list 100 //进行nat豁免,豁免acl 100内的IP

ASA1(config)# crypto isakmp enable outside //在外网区域开启IKE

ASA1(config)# crypto isakmp policy 1 //创建IKE为1的策略

ASA1(config-isakmp-policy)# authentication pre-share //开启共享密钥模式验证

ASA1(config-isakmp-policy)# encryption des //数据加密算法选择des

ASA1(config-isakmp-policy)# hash sha //摘要验证算法选择sha

ASA1(config-isakmp-policy)# lifetime 1600 //超时时间为1600

ASA1(config-isakmp-policy)# group 2 //密码组为2

ASA1(config-isakmp-policy)# exit

ASA1(config)# crypto isakmp key 123.com address 1.0.0.1 //配置IKE的共享密钥为123.com,对等体IP

ASA1(config)# crypto ipsec transform-set name-set esp-des esp-sha-hmac //定义ipsec的数据加密为des,摘要验证算法为sha

ASA1(config)# tunnel-group 1.0.0.1 ipsec-attributes // 定义隧道模式的属性

ASA1(config-tunnel-ipsec)# pre-shared-key 123.com //验证密钥为123.com

ASA1(config-tunnel-ipsec)# exit

ASA1(config)# crypto map name-map 1 match address 100 //创建映射表,匹配acl 100的地址

ASA1(config)# crypto map name-map 1 set transform-set name-set //创建映射表匹配加密算法

ASA1(config)# crypto map name-map 1 set peer 1.0.0.1 //定义对等体IP

ASA1(config)# crypto map name-map interface outside //将这个map应用到接口

ASA1(config)# exit

ASA1# show crypto isakmp sa //查看sa的状态

Active SA: 1

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

Total IKE SA: 1

1 IKE Peer: 2.0.0.2

Type    : L2L             Role    : initiator

Rekey   : no              State   : MM_ACTIVE    //连接成功

ISP——R1配置:

R1#conf t

R1(config)#int e0/0

R1(config-if)#ip add 1.0.0.2 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#int e0/1

R1(config-if)#ip add 2.0.0.1 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

局域网2——ASA2配置:

ASA2> en

Password:

ASA2# conf t

ASA2(config)# int e0/0

ASA2(config-if)# ip add 2.0.0.2 255.255.255.0

ASA2(config-if)# no sh

ASA2(config-if)# nameif outside

ASA2(config-if)# security-level 0

ASA2(config-if)# exit

ASA2(config)# int e0/1

ASA2(config-if)# ip add 192.168.2.1 255.255.255.0

ASA2(config-if)# no sh

ASA2(config-if)# nameif inside

ASA2(config-if)# security-level 100

ASA2(config)# route outside 0.0.0.0 0.0.0.0 2.0.0.1

ASA2(config)# nat-control

ASA2(config)# nat (inside) 1 0 0

ASA2(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

ASA2(config)# access-list 100 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

ASA2(config)# nat (inside) 0 access-list 100

ASA2(config)# crypto isakmp enable outside

ASA2(config)# crypto isakmp policy 1

ASA2(config-isakmp-policy)# authentication pre-share

ASA2(config-isakmp-policy)# encryption des

ASA2(config-isakmp-policy)# hash sha

ASA2(config-isakmp-policy)# lifetime 1600

ASA2(config-isakmp-policy)# group 2

ASA2(config-isakmp-policy)# exit

ASA2(config)# crypto isakmp key 123.com address 1.0.0.1

ASA2(config)# crypto ipsec transform-set name-set esp-des esp-sha-hmac

ASA2(config)# tunnel-group 1.0.0.1 ipsec-attributes

ASA2(config-tunnel-ipsec)# pre-shared-key 123.com

ASA2(config-tunnel-ipsec)# exit

ASA2(config)# crypto map name-map 1 match address 100

ASA2(config)# crypto map name-map 1 set transform-set name-set

ASA2(config)# crypto map name-map 1 set peer 1.0.0.1

ASA2(config)# crypto map name-map interface outside

ASA2(config)# exit

ASA2# show crypto isakmp sa

Active SA: 1

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

Total IKE SA: 1

1   IKE Peer: 1.0.0.1

Type    : L2L             Role    : responder

Rekey   : no              State   : MM_ACTIVE

验证:
在ISP——R2没有配置路由表的情况下用vpc1---->ping---->vpc2

结果:
在这里插入图片描述

小傻瓜的哥哥
关注
专栏目录
IPSec---NAT穿越实验配置
m0_49864110的博客
05-23 1360
目录 FW1-FW2基础配置 FW1-FW2配置安全策略—只可以由FW2为主动端建立IPSec隧道 FW1-FW2配置IPSec NAT设备FW4的配置 安全策略 配置NAT策略 NAT 穿越 相关配置 ESP NAT 黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 FW4的配置单独拿出来配置 FW1-FW2基础配置 按照图上要求配置好接口地址和安全区域,并配置相关路由 FW1-FW2配置安全策略—只可以由FW2为主动端建立IP.........
思科ASA防火墙双机热备综合实验
qq_43205578的博客
04-17 5877
实验背景: Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover,切换F...
实验cisco防火墙asa 5505 从内网访问外网服务(真实防火墙).pdf
11-26
实验cisco防火墙asa 5505 从内网访问外网服务(真实防火墙).pdf
CISCO IPSec××× 实验
weixin_34159110的博客
03-02 141
IPSec××× 实验 实验目的:通过IPsec××× 使总公司与分公司的PC可以互相PING通。 使用技术点:IPsec××× 地址规划: 总公司路由F0/0 ß--------------àInter路由F0/0 61.148.91.174/24 61.148.91.173/24 总公司路由F0/1ß---------...
远程访问VPN配置与验证实验:构建安全的远程连接
最新发布
Karka_的博客
06-28 1026
实验目的】【实验拓扑】实验拓扑如下图所示。实验拓扑设备参数表如下表所示。设备参数表设备接口IP地址子网掩码默认网关—|—|—|—|—R1s0/1/069.1.0.1N/Ag0/0/0N/AInternets0/1/069.1.0.2N/AS0/1/0N/AR2s0/1/0N/Ag0/0/0N/APC1g0/0/0PC2g0/0/0【实验内容】1.IP地址与路由配置//R1//Internet//R22.IP地址与路由配置。
SSL——ASA防火墙——Cisco实验(详解)
杰森斯坦陈的博客
04-07 3272
a's'dasd
Cisco IPSec一些基本命令(参考)
weixin_33991727的博客
03-14 3600
一、IPSec一些基本命令。R1(config)#crypto ? dynamic-map Specify a dynamic crypto map template//创建或修改一个动态加密映射表 ipsec Configure IPSEC policy//创建IPSec安全策略 isakmp Configure ISAKMP policy...
防火墙配置作业(基于Cisco PT)
weixin_33991418的博客
05-29 2107
基于上下文的访问控制 拓扑图 地址表 Device Interface IP address R1 F0/0 192.168.65.1 S0/0/0 10.1.65.1 R2 S0/0/0 10.1.65.2 S0/...
用EVE-NG平台做的思科传统防火墙的基本实验
Slow_fever_youth的博客
08-19 4252
一、实验设备以及实验拓扑: 二、 实验目的: 了解传统防火墙的部署场景 理解传统防火墙的包过滤策略 了解ASA防火墙的NAT配置 理解传统防火墙状态检测的作用 理解防火墙的路由模式部署场景 三、实验步骤及思路: 1. vpc的配置: ip 192.168.10.1 255.255.255.0 192.168.10.254 ip dns 114.114.114.114 2. 接入层交换机IOL_SW的配置: vlan 10 exit int e0/0 switchport mode access s
IPsec VPN 实验
m0_63645854的博客
04-10 1422
IPsec VPN实验
Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网
ccqeqo6397的博客
09-13 1745
博文目录一、IPSec 虚拟专用网故障排查二、配置防火墙和路由器实现IPSec 虚拟专用网三、总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网。 由于“Virtual Privat...
在ASA上实现 IPSec ***
weixin_33682790的博客
01-16 512
1、IPSec ×××管理链接的状态:查看状态:show crypto isakmp sa显示链接过程:debug crypto isakmpMM_NO_STATE:初始状态,连接失败状态MM_SA_SETUP:isakmp策略协商成功MM_KEY_EXCH:共享秘钥建立成功MM_KEY_AUTH:成功进行设备验证QM_IDLE:管理连接成功2、常见错误:①Encryptio...
防火墙配置IPsec ***
weixin_34004576的博客
08-25 224
实验拓扑图 配置文档: ISP en conf t hostname ISP int fa0/0 ip add 100.0.0.2 255.255.255.252 no shut exit int fa0/1 ip add 200.0.0.2 255.255.255.252 no shut exit ASA...
思科模拟器:网络安全实验
WS的小屋
06-09 5849
一、实验目的 • 掌握访问列表顺序配置的重要性 • 理解标准访问控制列表的作用 • 掌握扩展访问列表的配置 • 理解扩展访问列表丰富的过滤条件 二、应用环境 • 某些安全性要求比较高的主机或网络需要进行访问控制 • 其它的很多应用都可以使用访问控制列表提供操作条件 • 可以针对目标IP地址进行控制 • 针对某些服务进行控制 • 可以针对某些协议进行控制 三、实验设备 • Cisco 路由器 2 台 • PC 机 2 台 • 交叉线 3 条 四、实验拓扑 五、实验要求 六、实验步骤 配置访问控制器列表 第
防火墙配置IPSec ***
weixin_34221036的博客
02-06 2704
topo图: 防火墙配置 FW1配置: FW1(config)# inter g0FW1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.FW1(config-if)# ip address 10.1.1.254 255.255.255.0FW1(config-if)# no shu...
思科下一代模拟器EVE-NG做一个ASAIPsec点对点互联实验
gsls200808的专栏
01-03 1814
主要场景用于各地分公司内网网段互通,要求分公司出口为公网IP。 网络拓扑图如下: 最终实现VPC1和VPC2能互相ping通对方IP 1.防火墙1 asa1配置 #主机名,网卡ip配置 hostname asa1 interface GigabitEthernet0/0 nameif outside security-level 0 ip address 200.0.0.1 255.255.2
ASA防火墙IPSEC ***配置
weixin_34380296的博客
09-17 381
一.IPSEC ××× (site to site)第一步:在外部接口启用IKE协商crypto isakmp enable outside第二步:配置isakmp协商策略isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可isakmp policy 5 authenticationpre-share //配置认证方式为预共享密钥...
网络配置实训(思科)
czh2637750821的博客
12-11 8869
一、网络系统工程方案设计 以XXX为背景,了解文华学院现有校园网络的构成。主要从网速提高,网络安全,无线网络构建等几个方面进行分析,并提出合理的改进意见,设计出更优的校园网络工程方案。 1、需求分析 以文华学院为背景,通过实地调查、现场访谈、书面调查等形式了解文华学院的组织结构、网络建设的背景,对文华学院的网络工程有一个全面的感性的认识。建设文华学院需要重新建立一个校园网,在前面了解的知识背景之上,明确网络需求和网络性能的评价标准。具体地,包括网络建设的目的与原则、投资规模、现有网络的问题与不足等;网络系统
IPsec ***防火墙配置
weixin_41694699的博客
07-20 1347
这是IPsec***的另一种配置,作用在防火墙上面。虽然一个是作用的路由器上的一个是作用在防火墙上的但是原理机制都是差不多,唯一的区别就是默认配置的区别。路由器默认就开启了IKE的协商,而防火墙是默认关闭的所以要输入crypto isakmp enable outside这条命令开启防火墙上面的IKE的协商,outside就是指在防火墙的外网口开启这个功能,也就是图中所示的e0/0这个端口。但是由...
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值