第三篇 记思科ASA与Zenlayer云之间运行IPSEC+BGP

已于 2024-06-21 11:30:27 修改
阅读量471 收藏
点赞数 12
文章标签: 网络
于 2024-06-21 10:02:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38673277/article/details/139851059
版权

1、环境概述

        企业防火墙:ASA5525  9.14(4)23

        Zenlayer云网络

        通过在ASA与Zenlayer之间配置IPSEC,实现在ASA与Zenlayer之间运行BGP路由协议。ASA侧使用双链路到ISP,Zenlayer云提供单IP。目的实现主备切换,和BGP路由传递。

2、配置

           配置说明:只列出了重要步骤,并未列出全部的配置。

        (1)IPSEC相关配置

crypto ikev2 policy 10
 encryption aes
 integrity sha
 group 14
 prf sha
 lifetime seconds 86400

crypto ipsec ikev2 ipsec-proposal zenlayer
 protocol esp encryption aes
 protocol esp integrity sha-1

crypto ipsec profile zenlayer
 set ikev2 ipsec-proposal zenlayer
 set pfs group14
 set security-association lifetime seconds 43200

interface Tunnel3
 nameif To_Zenlayer_A
 ip address 与Zenlayer互联地址1 
 tunnel source interface outside1
 tunnel destination Zenlayer公网IP
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile zenlayer
!
interface Tunnel4
 nameif To_Zenlayer_S
 ip address 与Zenlayer互联地址2 
 tunnel source interface outside2
 tunnel destination Zenlayer公网IP
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile zenlayer

group-policy Zenlayer internal
group-policy Zenlayer attributes
 vpn-tunnel-protocol ikev2 

tunnel-group Zenlayer type ipsec-l2l
tunnel-group Zenlayer general-attributes
 default-group-policy Zenlayer
tunnel-group Zenlayer ipsec-attributes
 isakmp keepalive threshold 10 retry 10
 ikev2 remote-authentication pre-shared-key 共享密钥
 ikev2 local-authentication pre-shared-key 共享密钥

        (2)BGP相关配置                

router bgp 10000
 address-family ipv4 unicast
  neighbor 与Zenlayer互联地址1 remote-as ZenlayerAS号
  neighbor 与Zenlayer互联地址1 activate
  neighbor 与Zenlayer互联地址1 prefix-list 前缀列表 out
  neighbor 与Zenlayer互联地址2 remote-as ZenlayerAS号
  neighbor 与Zenlayer互联地址2 activate
  neighbor 与Zenlayer互联地址2 prefix-list 前缀列表 out

SNOLA91
关注
  • 12
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISCO 路由器OSPF+MPLS+BGP 配置实例
09-22
由 5 台 CISCO7204 组成的网络,一台为 P 路由器,两台 PE 路由器,两台 CE 路由器; 二 二二 二、 、、 、网络描述 网络描述网络描述 网络描述 在 P 和两台 PE 路由器这间通过 OSPF 动态路由协议完成 MPLS 网络的建立...
ASA5520 多版本ios+asdm+教程.zip
06-13
CISCO ASA5520 IOS ASDM完整包。ASA5520ios恢复。asdm启用。asa841-k8.bin-asa924-k8.bin五个版本ios和asdm-641.binasdm-701.binasdm-781.bin三个版本。含教程。亲测可用。
配置CISCO ASA With BGP 实例
weixin_34297704的博客
04-05 129
配置CISCO ASA With BGP 实例 详细配置见附件 转载于:https://blog.51cto.com/xuanbo/146276
思科防火墙 ASA 5525-X 双机热备配置
小木的博客
03-28 3246
思科防火墙(ASA-5525-X)双机热备配置 注:本次实验设备型号为 ASA 5525-X; 系统版本: Cisco Adaptive Security Appliance Software Version 9.14(2)13 SSP Operating System Version 2.8(1.144) Device Manager Version 7.15(1)150 一、为什么要做双机热备 1.提升网络的可靠性,避免单点故障; 2.对于防火墙而已,还启到备份会话表等一些状态信息;
本地Cisco与端H3C建立GRE over IPsec
网络搬砖
01-20 109
一、目标 内网Cisco路由器与端H3C路由器建立GRE over IPsec,最终实现Tunnel接口互通; 为内网与运行动态路由协议(RIP、OSPF、ISIS、BGP)建立基础。 二、拓扑 image.png 拓扑中Cisco VPN路由器为旁挂到核心交换机部署,接口IP为私网IP; 如拓扑所示,Cisco VPN路由器访问互联网需经过两道NAT转换; 端H3C VS...
ASA Remote Access ***隧道分离+ACL过滤配置
weixin_33829657的博客
02-20 1323
Cisco ASA IPSec ×××隧道分离配置对通过××× Client访问的终端用户进行组策略隧道分离配置,并限定终端访问主机。本例中,filtertest组只能访问主机 192.168.2.10,ipsectest组可访问网络192.168.2.0/24。防火墙: ASA5505 V8.2(5)×××终端: Windows 7 64bit系统、***client...
Cisco GRE OVER IPSEC ××× 配置
weixin_33868027的博客
01-31 185
PN IPSec ××× 专题四:GRE over IPSec 环境: 1:R4/R5/R6之间通过Static Route来建立联通性: 2:R4<-->R6之间建立GRE Tunnel 3:R4<-->R6之间建立IPSec ××× 需求:要求PC3 和 PC7能够互通 涉及技术点:GRE Tunnel的建立、IP...
IPSec的链路和设备备份
weixin_30872867的博客
12-14 176
链路备份的IPSec VPN和设备备份的IPSec VPN:首先实验的是链路备份的 IPSec VPN,下面是实验拓扑:IP地址配置:R1(Branch):Branch(config-if)#ip add 12.1.1.1 255.255.255.0Branch(config-if)#no shuBranch(config-if)#int lo0Branch(config-if)#ip...
ASA Cisco ××× 配置详解三部曲
weixin_33834679的博客
04-03 146
1 / 46 ASA Cisco ××× 配置详解三部曲 [三部曲之一] 注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍。 首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。 ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两...
ASA防火墙实验演示
weixin_33972649的博客
07-03 406
硬件防火墙 ASA 【实验名称】: 硬件防火墙ASA的配置 【实验原理】: 【实验背景】: 思科ASA5500系列自适应安全设备是能够为从小型办公室、家庭办公室和中小型企业到大型企业的各类环境提供新一代安全性和×××服务模块化安全平台。思科ASA5500系列能为企业提供全面的服务,而且这些服务都可以根据客户对防火墙、***防御、Anit-X和×××的要求而特别制定。...
ASA Modular Policy Framework_04
weixin_34194551的博客
06-14 282
MPF基本MPF架构介绍class-map:什么流量,对流分类3-4层:源目ip,协议号,端口5-7层:应用层http ftp telnetpolicy-map:添加多个类,为每个类做什么动作 3-4层:较简单5-7层:限速,屏蔽关键字,比较复杂service-policy:在哪里 匹配哪个class 执行哪个policyclass-ma...
最新Cisco ASA模拟器 + Windows XP完美运行
02-25
最新Cisco ASA模拟器 + Windows XP完美运行 好消息,在Windows上运行思科ASAasa802 - k8.bin放在有qemu.exe文件的文件夹中,这里我已经打包放进去了。 现在,双击 Setup.bat,只需等待几秒钟和弹出窗口告诉你...
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
思科ASA 9.14防火墙配置文档
04-29
Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
不出网上线CS的各种姿势(内网横向)
最新发布
qq_64395221的博客
06-21 912
在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link <ip>)去连接它。经常是拿下一台边缘机器,其有多块网卡,用于连接内外网,内网机器都不出网。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。一样,建立pystinger连接之后,直接生成payload在业务主机执行,业务内网主机192.168.111.236即可成功上线。
Java中的网络编程实践指南
weixin_44627014的博客
06-19 245
通过本文的介绍,相信大家对Java中的网络编程有了更深入的了解。网络编程是Java开发中非常重要的一部分,掌握了这些技术,可以让我们更好地开发各种类型的网络应用,提高开发效率和代码质量。
计算机网络5:运输层
sylviiiiiia的博客
06-18 663
计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程。如何为运行在不同主机上的应用进程提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为。运输层向应用层实体屏蔽了下面网络核心的细节(例如网络拓扑、所采用的路由选择协议等),它使应用进程看见的就好像是在两个运输层实体之间有一条端到端的逻辑通信信道。根据应用需求的不同,因特网的运输层为应用层提供了两种不同的运输层协议,即面向连接的TCP和无连接的UDP,这两种协议就是本章要讨论的主要内容。
scapy修改TCP标志位
Wait_Godot的博客
06-21 515
使用scapy修改TCP包的标志位
cisco asa ipsec config
06-11
以下是Cisco ASA设备配置IPSec VPN的基本步骤: 1. 配置IKE策略:用于协商IKE通道的参数,包括加密算法、认证方法、DH组、密钥生命周期等。 ``` crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 lifetime 3600 ``` 2. 配置IPSec策略:用于协商IPSec隧道的参数,包括加密算法、认证方法、DH组、密钥生命周期等。 ``` crypto ipsec ikev1 transform-set TSET esp-aes-256 esp-sha-hmac ``` 3. 配置加密域:用于定义需要加密的流量,包括本地和远程子网。 ``` access-list VPN-ACL extended permit ip 10.10.1.0 255.255.255.0 192.168.1.0 255.255.255.0 ``` 4. 配置IPSec策略映射:用于将加密域映射到IPSec策略。 ``` crypto map CMAP 10 match address VPN-ACL crypto map CMAP 10 set peer 1.1.1.1 crypto map CMAP 10 set ikev1 transform-set TSET crypto map CMAP interface outside ``` 5. 配置预共享密钥:用于双方身份验证。 ``` tunnel-group 1.1.1.1 type ipsec-l2l tunnel-group 1.1.1.1 ipsec-attributes ikev1 pre-shared-key ***** ``` 其中,1.1.1.1为远程设备的公网IP地址,*****为预共享密钥。 以上是基本的配置,具体配置需要根据实际情况进行调整。同时,需要注意安全性配置,例如启用防火墙、禁用不安全的加密算法等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值