思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)

已于 2023-12-29 10:38:00 修改
阅读量1.1k 收藏 16
点赞数 15
分类专栏: 防火墙 文章标签: 网络
于 2023-12-28 11:50:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74338624/article/details/135230894
版权

一.拓扑

二.思路介绍

                具体思路如上,在可视化界面上也要按照如此顺序依次配置

三.具体在web界面上实现

        1.阶段一配置

        2.预共享密钥

        3.注意,由于阶段二可以在crypto map里直接配置,所以说直接暂时跳过阶段二配置

        4.cryto map里配置阶段二并调用

        5.crypto map匹配目的端口以及匹配acl

        6.接口调用

四.IPSEC VPN注意事项

        1.对ASAV配置初期操作,重新刷新下设备。

ciscoasa(config)# configure factory-default

        2.如何打开会话表象。为避免来回搭建两个安全策略实现包和回报的穿越流量发送。打开会话表象后会自动记录发出包的并生成回包的安全策略。

 policy-map global
class inspection_default
inspect icmp

        3.思科是默认开启vpn流量通过的,但这也违背了安全的初衷,关闭方法:

No sysopt connection permit-vpn

        关闭之后在防火墙上面配置对应的安全策略可以实现

        4.防火墙和对端站点之间ipsec协商流量不用安全策略设置,应为思科默认允许中介流量和防火墙发起流量

五.NAT-T问题

  拓扑情况

    目前要在实现vpn的基础上,pc要去R1(ISP)处上网   

   出现问题

      要上网就要用到NAT来解决,但配置nat之后,相比于VPN匹配并进行,nat会优先处理,但nat转换地址之后会出现vpn无法匹配来进行隧道封装的问题。

   解决办法

     配置两个nat,一个进行公网转化并完成上网的目的,另外一个了则在公网转化nat之前匹配到进行VPN处理的流量并保持不变,这样既能保持初始流量,又可以跳过公网转化的nat。

六.具体配置

     1.先创建一个普通的nat

        2.具体配置(从而实现上网)

        3.配置一个在公网nat之前的进行的nat

        4.配置(啥也不变,只是匹配一下)

        5。打成目的

七.尾言

   本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

肥灯儿哥哥
关注
专栏目录
思科防火墙应用NAT
一起努力共同进步,为了未来一起奋斗吧!
11-22 5713
思科防火墙应用NAT
思科CISCO ASA 5555防火墙如何新增一条Ipsec隧道至深信服防火墙
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-17 276
(第一阶段,协商IKE)
思科IPsec VPN基本配置
weixin_68021856的博客
07-22 3381
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置转换集名字myset, IPSec的封装协议esp-3des esp-md5-hmac(默认隧道模式tuunel)R1(config-crypto-map)#set transform-set myset //关联转换集myset。在配置IPSec前首先要保证公网可达:在R1和R3上写一条默认路由。
CISCO路由器NAT-T与IPSec ×××配置实验【实践闯未来】
weixin_34349320的博客
03-18 313
CISCO路由器NAT-T与IPSec ×××配置实验 1.实验拓扑: 2.基本原理: A.R1上配加密图时,address为12.1.1.2 IP;【不是内网的23.1.1.3哦!】 B.R3上配加密图时,address为12.1.1.1 IP; C.内网到远程时,因路由器自动开启NAT-T功能,所有可以ping通; D.远程到内网时,要做UDP...
思科与H3C IPSec 预共享密钥和证书认证 ,NAT穿越综合实验
Faithope的博客
10-11 1713
拓扑图 地址分配表 AR1 Gi0/0 10.10.1.2 Gi0/1 10.10.14.1 IPS Gi0/0 10.10.2.2 Gi0/1 10.10.14.4 Gi0/2 10.10.24.4 AR2 Gi0/2 10.10.24.2 PC1 eth0 10.10...
思科路由配置(NATIPSEC ×××)
weixin_34352005的博客
12-05 272
背景:由于公司网络扩充,现新购两台路由器(cisco 1800) 和防火墙一台(CISCO ASA)需求:配置NAT,以及×××以下为具体操作过程先使网络互通en conf thostname r1enable sec passwordline vty 0 5password passwordloginexitinterface fa0/0ip addr 202.104.66...
Cisco Packet Tracer实战 - IPSec VPN配置练习
weixin_44517249的博客
02-29 3187
IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
×××实验配置2 思科路由器思科ASA防火墙传统IPSEC ×××配置实例
weixin_34292924的博客
05-31 359
一,ASA1配置:asa1#asa1#showverCiscoAdaptiveSecurityApplianceSoftwareVersion8.0(2)CompiledonFri15-Jun-0719:29bybuildersSystemp_w_picpathfileis"Unknown,monitormodetftpboot...
思科防火墙IPsec配置-野蛮模式方式(基于9.9本)
xiayu0912的专栏
02-21 1533
思科防火墙ASA配置野蛮模式建立IPse连接
山石网科-Hillstone-策略模式的IPSEC-***之配置终结篇
weixin_34415923的博客
03-26 2566
ipsec不作多介绍,直接上配置步骤。与前面文章中路由模式的ipsec不一样,其实个人理解来看,通俗理解如下:策略模式的***,方便,步骤简单。快!不易于扩展,比如那种多分支site的访问等等。路由模式的***,步骤稍复杂,基于tunnel做。受制于设备的参数支持,扩展性好。经历了不下于50台山石网科的防火墙的应用组网和设备运维后,俩者均有特点,还是要视客户的具体网络需求去定...
Cisco防火墙配置实战
悦分享
11-15 1032
Cisco自适应安全设备管理器(Adaptive Security Device Manager,ASDM)通过一个直观、易用、基于Web的管理界面,提供了世界级的安全管理和监控服务。结合Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备,Cisco ASDM提供的智能向导、强大的管理工具和灵活的监控服务,进一步增强了Cisco安全设备套件提供的先进的集成安全和网络功能,从而加速安全设备的部署。
网络技术领域专业术语大全,200个术语!收藏收藏!
最新发布
网络技术联盟站
08-06 179
网络技术领域,有大量专业术语,这些术语涵盖了从基础概念到高级技术的各个方面。本文将详细介绍200个常见的网络技术术语,帮助大家更好地理解和应用这些术语。
cisco(思科问题
dzp8688的专栏
08-21 8084
Cisco 1800系列集成多业务路由器常见问题<br />平台<br />常见问题<br />问:什么是Cisco®1800系列集成多业务路由器?<br />答:Cisco 1800系列属于思科集成多业务路由器,包括Cisco 1841模块化路由器。Cisco 1841路由器的设计可智能地将数据和安全服务集成入单一永续系统,以快速、可扩展地供应关键任务商业应用。Cisco 1800系列的最佳架构经过了特别设计,可满足中小型企业、小型企业分支机构和服务供应商可管理服务应用的要求。Cisco 1800系列以线
ipsec nat穿越实验
weixin_34220834的博客
09-30 261
做此实验需开启NAT 穿越功能,cisco设备默认是开启的。 R2添加此2条命令是为了能够让外部穿越NAT设备以此来建立×××关系 ip nat inside source static udp 10.1.1.1 4500 interface Ethernet0/1 4500 ip nat inside source static udp 10.1.1.1 500 ...
防火墙IPSec VPNNAT 穿透-单侧 NAT
weixin_44080599的博客
06-02 2004
奇安信防火墙 IPSEC VPN 详解
思科防火墙IPsec配置-主模式方式(基于9.9本)
xiayu0912的专栏
02-06 2123
思科防火墙9.9本,配置Ipsec主模式
思科IPSEC配置实验
川的博客
11-05 1411
使用思科路由器配置IPSec隧道实验,有完整的数据包发送过程解析,配置过程命令解析。
思科防火墙IPsec配置-主模式方式(基于8.0本)
xiayu0912的专栏
01-18 1888
cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。配置从192.168.1.0到192.168.3.0的数据包不做地址转换,该网络拓扑比较简单,可以不配置,但是真实环境比较复杂,一般都需要配置,故这里也配置上。网络拓扑如上图所示,为方便记忆从左到右顺时针方向的网段的分别为192.168.1.0, 2.0, 3.0。
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 640
思科 FPR1120-ASA-K9 上设置 IPSec VPN.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值