思科CISCO ASA 5521 防火墙 Ipsec 配置详解

最新推荐文章于 2024-02-21 22:20:01 发布
最新推荐文章于 2024-02-21 22:20:01 发布
阅读量2.2k 收藏 19
点赞数 4
文章标签: 思科 ipsec asa fanghuoqiang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20356797/article/details/103503699
版权

版本信息:
Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一样
拓扑图

2.1 默认路由
ASA-1(config) route outside 0.0.0.0 0.0.0.0 100.0.0.2 1 #下一跳地址一般由运营商提供

2.2配置ISAKMP策略(第一阶段,协商IKE)
ASA1(config)#crypto ikev1 enable outside #在外部接口启用ikev1秘钥管理协议

ASA1(config)#crypto ikev1 policy 1 #策略越高,调用优先级越高

ASA1(config-ikev1-policy)#encryption aes #加密策略双方保持一致

ASA1(config-ikev1-policy)#hash sha #哈希算法双方保持一致,用作签名,确保数据一致性

ASA1(config-ikev1-policy)#authentication pre-share #预置秘钥认证

ASA1(config-ikev1-policy)#group 2

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l #预隧道类型为lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes #红色部分为自定义的名字,这里为了方便记忆写成了对端IP地址,配置ipsec的属性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456 #红色部分为密钥,双方一致

2.3配置ACL (第二阶段开始,保护具体数据流)
ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#这里的acl列表好要和加密映射集的一致(本地-对端)

2.4配置IPSec策略(转换集)
ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

2.5配置加密映射集
ASA1(config)#crypto map new-map 1 match address 100 #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1 #设置对端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set

2.6将映射集应用在接口
ASA1(config)#crypto map new-map interface outside #此处标签后边没有序列号

2.7 NAT和NAT豁免
ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0 #定义本地的内网网段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface #NAT重载

ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0 #定义对方的内网网段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote #nat豁免,这句话的意思是,inside网段的地址访问remote网段的地址,就用相同的地址访问,不进行转换(全局模式下)

2.8 注意点
1、如果ASA接口的security-level相同则需要配置same-security-traffic permit inter-interface,否则安全级别相同的端口无法互相访问,VPN也不会通。

2、建议inside口的安全级别低于outside的安全级别,因为CISICO默认高安全级别可以访问低安全级别的接口

3、另一台服务器按照配置重新做一遍即可,注意对端地址的改变,map集set 和acl 名字可以不一样,但是加密方式和哈希这些必须保持一致。

湖南馒头
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ip nat inside source static
佳年华乐园
11-26 1万+
命令 操作 ip natinside source 转换IP包的源,这些IP包正在从内部传输到外部 转换IP包的目的地,这些IP包正在从外部传输到内部 ip nat outsidesource 转换IP包的源,这些IP包正...
Cisco路由交换-NAT详解
u013111726的博客
06-12 806
概述 上篇最后说了在cisco IOS配置NAT的时候我们会发现inside、outside、source、destination这样的参数,我们常用的就是inside和source参数,今天就让我们来看一下之其中的玄奥之处。在此之前我们需要先了解一些基本的概念 基本概念 内部本地地址 内部局域网中的IP地址,常见的A、B、C类中的私网地址,转换前的源地址 内部全局地址 N...
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
ASA 老版与新版本 NAT的配置方法与比较
网络之路Blog(其他平台同名)
03-06 1609
简介 ASA 8.3以后,NAT算是发生了很大的改变,之前也看过8.4的ASA,改变的还有VPN,加入了Ikev2 。MPF方法加入了新的东西,QOS和策略都加强了,这算是cisco把CCSP的课程改为 CCNP Security 的改革吧! 拓扑图就是上面的,基本配置都是一样,地址 每个路由器上一条默认路由指向ASA。 基本通信没问题,关于8.3以后推出了两个概念,一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object,代表服务 。 1
NAT的配置详解
RongChun的博客
06-03 2万+
NAT:Network address Translation是网络地址转换 它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对 公网IP地址的占用 概念: 1) 私有网络—>公有网络的转换 2) NAT术语 Inside Local:内部本地地址,公司内部私有网络 Inside Global:内部全局地址,公司访问外网使用的公网IP地...
cisco *** 实验笔记
weixin_34128411的博客
07-24 158
加密点不等于通讯点为Tunnel ModeIKEv1 配置实例×××触发的过程:1.包进入×××设备,检查远端通讯点的路由,路由引导流量出适当的接口 2.包在出接口过程中撞击上MAP 3.流量匹配上MAP的ACL(感兴趣流),触发加密 4.发起和PEER的IKE协商,×××设备检查去忘PEER(远端加密点)的路由1.设备配置基础配置 BR1#showipintb Int...
Cisco ASA 5510 防火墙重置密码及配置恢复的方法.doc
10-21
很多人都玩过破解或者恢复Windows的密码,直接使用PE等工具,使用一个U盘就可以搞定。工作中可能会需要破解一些网络设备的密码,比如,路由器、交换机、防火墙等。
cisco防火墙ipsec故障排除
05-28
cisco防火墙asa和pix上面配置ipsec 常见故障分析与故障排除方法
ipsec+ssl+acs+asa5520配置命令
12-14
以上是基于给定配置文件内容的关键知识点总结,这些配置覆盖了ASA防火墙的基本配置、安全策略制定、地址转换以及高级安全功能(如IPsec和SSL)等方面。对于实际操作Cisco ASA设备的人来说,理解这些配置及其作用至关...
最新cisco asa911-k8
12-25
配置涵盖防火墙规则、访问控制列表(ACLs)、身份认证、IPsec和SSL VPN、NAT转换等多方面。 **4. 安全最佳实践** - **定期更新**:保持ASA软件的最新状态,以抵御新的安全威胁。 - **安全策略审查**:定期评估并...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
最新发布
xiayu0912的专栏
02-21 1283
思科防火墙ASA配置野蛮模式建立IPse连接
思科防火墙nat 命令配置
道亦的博客
08-19 1万+
1.ASA一对一的NAT配置 分析现在内网不能PING外网有两方面原因 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由) 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。 1:ASA策略放行 ciscoasa(config)# access-list 100 permit ip any any ciscoasa(con...
ASA5520 NAT dynamic 与static 冲突
zxl97121的专栏
04-29 1583
现有一台CISCO ASA5520,配置NAT如下 nat (inside,outside) source dynamic nat_lan interface ! object network in-address  nat (inside,outside) static interface service tcp 4343 4343 object network in-3switch
思科防火墙ASA5520做NAT映射配置实例
热门推荐
sinat_41702786的博客
05-11 2万+
1、按照规划,先定义外网口、内网口,比如eth0/1为外网口,eth0/2为内网口:interface eth0/1nameif outside      //接口模式下配置nameif为outside,外网口security-level 0     //设备默认外网口的安全等级为0ip address 1.1.1.1 255.255.255.0  //配置外网口IP地址为1.1.1.1/24--...
NAT详解知识点
Iands。的博客
10-30 1072
NAT (Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 NAT知识点 私有网络地址和公有网络地址 NAT的工作原理 NAT功能 静态NAT NAT2种配置方法 一、私有网络地址和公有网络地址 公有网络地址(以下简称公网地址)是指在互联网.上全球唯—的IP地址。2019年11月26日,是人类互联网时代值得纪念的一-天,全球近43亿个IPv4地址已正式耗尽。私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网.
ASA防火墙之NAT的实例配置
Stephen_jj的博客
04-30 8982
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。 动态NAT(dynami...
思科防火墙IPsec配置-主模式方式(基于8.0版本)
xiayu0912的专栏
01-18 1770
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置从192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
网络基本功(十九):细说NAT原理与配置
yuzhongxiongying的专栏
01-29 585
转载自:https://community.emc.com/thread/197851?start=120&tstart=0             网络基本功(十九):细说NAT原理与配置  转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese     介绍   NAT技术让少数公有IP地址被使
NAT映射关系
Ggggggggggu的博客
05-23 3164
NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。这样,所有使用本地地址(私网IP地址)的主机在和外界通信时,都要...
Cisco ASA 5510防火墙图文配置实例详解
"Cisco ASA 5510 防火墙图文配置实例详解" Cisco ASA 5510 防火墙图文配置实例是一篇详细的配置文档,旨在帮助读者快速掌握Cisco ASA 5510 防火墙配置步骤。下面将对该文档中的知识点进行详细解释: 1. 连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值