虚拟专用网络实验
实验步骤
- 防火墙预配
- 配置PAT
- 配置虚拟专用网络
- 启用NAT豁免
- 测试结果与分析原因
实验拓扑
根据拓扑,配置路由器和PC的IP地址
实验命令
1.预配
ASA1
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.10.2 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# int e0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 202.100.10.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route outside 0 0 202.100.10.2
ASA2
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.20.2 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 202.100.20.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route outside 0 0 202.100.20.2
2.PAT
ASA1
ASA1(config)# nat (inside) 1 0 0
ASA1(config)# global (outside) 1 interface
ASA2参考如上
3.虚拟专网
ASA1
ASA1(config)# crypto isakmp enable outside
ASA1(config)# crypto isakmp policy 1
ASA1(config-isakmp-policy)# encryption 3des
ASA1(config-isakmp-policy)# hash sha
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# group 2
ASA1(config)# crypto isakmp key cisco address 202.100.20.1
ASA1(config)# crypto ipsec transform-set XXX esp-3des esp-sha-hmac
ASA1(config)# access-list vpn permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
ASA1(config)# crypto map cisco 1 match address vpn
ASA1(config)# crypto map cisco 1 set peer 202.100.20.1
ASA1(config)# crypto map cisco 1 set transform-set XXX
ASA1(config)# crypto map cisco interface outside
ASA2参考如上
4.NAT豁免1
ASA1
ASA1(config)# access-list huomian permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list huomian
//inside接口应用ACL,注意nat-id为0 表示使用NAT豁免,优先级最高
就是ACL中的地址经过ASA防火墙时,不需要进行地址转换
ASA2
ASA2(config)# access-list huomian permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list huomian
//使用豁免后,连接会不再受NAT控制的开关影响
试验测试
配置完PAT后PC1可访问internet_host
配置完虚拟专用网络后使用PC1对PC2进行远程登陆
原因分析:因为在防火墙上有配置NAT,而访问远端PC2的路由没有进行NAT豁免,因此在防火墙上执行了路由转换,导致通信失败
解决以上通信失败的方案有二
方案一:
在防火墙上配置NAT豁免(不受NAT控制2影响)
方案二:
在防火墙上删掉NAT或者在NAT映射关系中删去要建立虚拟专网的网段(当开启NAT控制时会无法访问)
易被忽略的影响虚拟专网通信的原因
- 对本地局部地址进行了全局转换,导致无法进入虚拟专网线路
- 开始NAT控制,导致不进行NAT转换的路由被阻碍