ASA842 L2L***没有配置隧道分离,分支机构从总部上公网测试

最新推荐文章于 2021-05-12 21:33:33 发布
最新推荐文章于 2021-05-12 21:33:33 发布
阅读量172 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33676492/article/details/85074874
版权

一.测试拓扑:

191252882.jpg

二.测试思路:

A.总部ASA不配置隧道分离,分支机构所有流量都走***

B.总部ASA配置NAT允许分支网段PAT上公网

----因为分支流量会从outside接口反弹流量,需要配置same-security-traffic permit intra-interface

三.基本配置:
A.Inside路由器:
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.1
B.Center_ASA842防火墙:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet1
nameif outside
security-level 0
ip address 202.100.1.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 202.100.1.10
access-list outside extended permit icmp any any
access-group outside in interface outside
C.Internet路由器:
interface Loopback0
ip address 61.1.1.1 255.255.255.0
interface Ethernet0/0
ip address 202.100.1.10 255.255.255.0
no shutdown
interface Ethernet0/1
ip address 202.100.2.10 255.255.255.0
no shutdown
D.Branch路由器:
interface Loopback0
ip address 61.1.1.1 255.255.255.0
interface Ethernet0/0
ip address 202.100.1.10 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.2.10
四.Site-to-Site ***配置:
A.Branch路由器:
①第一阶段策略:
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.1
②第二阶段转换集:
crypto ipsec transform-set transet esp-des esp-md5-hmac
③配置感兴趣流:
ip access-list extended ***
permit ip 192.168.1.0 0.0.0.255 any
④配置并应用crypto map:
crypto map crymap 10 ipsec-isakmp
set peer 202.100.1.1
set transform-set transet
match address ***
crypto map crymap 10 ipsec-isakmp
match address ***
B.Center_ASA842防火墙:
①第一阶段策略:
crypto ikev1 policy 10
authentication pre-share
encryption des
hash md5
group 2
crypto isakmp identity address
tunnel-group 202.100.2.1 type ipsec-l2l
tunnel-group 202.100.2.1 ipsec-attributes
ikev1 pre-shared-key cisco
②第二阶段转换集:
crypto ipsec ikev1 transform-set transet esp-des esp-md5-hmac
③配置感兴趣流:
access-list *** extended permit ip any 192.168.1.0 255.255.255.0
④配置并应用crypto map:
crypto map crymap 10 match address ***
crypto map crymap 10 set peer 202.100.2.1
crypto map crymap 10 set ikev1 transform-set transet
crypto map crymap 10 set reverse-route
crypto map crymap interface outside
⑤在外部接口启用IKEV1:
crypto ikev1 enable outside
五.Center_ASA842防火墙NAT配置:
A.内部PAT出公网:
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
B.***流量NAT免除:
object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
object network obj-192.168.1.0
subnet 192.168.1.0 255.255.255.0
nat (inside,any) source static obj-10.1.1.0 obj-10.1.1.0 destination static obj-192.168.1.0 obj-192.168.1.0 no-proxy-arp
C.Hairpin NAT使得分支机构PAT上公网:
same-security-traffic permit intra-interface
object network obj-192.168.1.0
nat (outside,outside) dynamic interface

weixin_33676492
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Cisco ASA 5505 (Version 9.X)的 LAN上网和NAT的配置
fumobilemail的博客
11-24 3174
这里写 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 提示:
电路在线维修测试仪上的ASA(VI曲线)测试(上)
01-20
电路在线维修测试仪上的ASA(VI曲线)测试(上) ASA(VI曲线)测试是重要、常用的电路在线维修测试技术之一。目前市场上的各种电路在线维修测试仪产品上都具有基于该技术的测试功能。由于各家对此项技术在...
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3548
一、案例介绍 本例介绍总部分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网地......
ASA Remote Access ***隧道分离+ACL过滤配置
weixin_33829657的博客
02-20 1339
Cisco ASA IPSec ×××隧道分离配置对通过××× Client访问的终端用户进行组策略隧道分离配置,并限定终端访问主机。本例中,filtertest组只能访问主机 192.168.2.10,ipsectest组可访问网络192.168.2.0/24。防火墙: ASA5505 V8.2(5)×××终端: Windows 7 64bit系统、***client...
linux双wan备份,ASA5505 双ISP线路(双WAN)接入配置
weixin_42138545的博客
05-12 375
双WAN线路接入,不同服务通过映射走不同WAN口进入内部网络链路冗余,主线路中断后流量切换至第二条线路(出站)通过show run查看接口和VLAN划分情况interface Vlan1nameif insidesecurity-level 100ip address 192.168.15.1 255.255.255.0!interface Vlan2nameif outsidesecurity-...
ASA 配置笔记
weixin_33890499的博客
12-30 445
公司最近增加一台CISCOASA5510-K8防火墙设备,也算是初次接触吧,一波三折,折腾了一个多星期也算基本摸清,现为这一个多星期的折腾记录一下,日后少做一些无用功。这次ASA主要用于远程接入及一部分服务器外网访问,按此需求也列出以下ASA配置的项目:1、远程接入,IPSec***或SSL***,因购买此型号的防火墙SSL***授权只有两个,只有选...
电路在线维修测试仪上的ASA(VI曲线)测试(下)
01-20
电路在线维修测试仪上的ASA(VI曲线)测试(下) 六、关于测试通道数 测试信号的好坏决定了测试质量,测试通道的多少主要影响测试效率。使用要求不同,对通道数的多少要求也不同。主要有以下三种: 1.在线...
浅谈电路板维修测试仪上的ASA(VI)曲线测试
01-20
一、ASA测试应用特点  Analog Signature Analysis(模拟特征分析)是一种广泛应用于电子电路板的故障检测技术。具有以下特点:  1.不涉及电路原理,无需电路处于工作状态,所以可用于没有图纸资料,脱离设备...
电子维修中的浅谈电路板维修测试仪上的ASA(VI)曲线测试
11-08
《电子维修中的ASA(VI)曲线测试解析》 在电子维修领域,电路板维修测试仪是不可或缺的工具,尤其在面对复杂的电路板故障时。其中,ASA(Analog Signature Analysis,模拟特征分析)曲线测试是一种广泛应用的技术...
电子维修中的电路在线维修测试仪上的ASA(VI曲线)测试(上)
12-13
ASA(Analog Signature Analysis,模拟特征分析)是电子维修领域中一种重要的电路在线维修测试技术,主要用于检测电子电路板的故障。它不依赖电路的工作状态,甚至不需要电路图纸,因此适用于无法获取图纸或需要离线...
Cisco路由器配置GRE隧道详解
03-29
Cisco路由器配置GRE隧道详解,有详细的配置以及GRE的原理,请大家认真仔细的看,有不懂的朋友可以问我。
ASA8.42Ez***没有隧道分割从总部访问公网测试
weixin_34250434的博客
08-24 117
1.测试拓扑: 参见:http://333234.blog.51cto.com/323234/958557的测试拓扑 有隧道分离时不用配置NAT免除,可以参考如下博文:http://blog.sina.com.cn/s/blog_52ddfea30100ux80.htmlSite-to-Site ***从总部ASA公网配置参考如下链接:http://www.packetu.com/2013/0...
ASA远程×××客户端分离隧道的3种模式
weixin_33929309的博客
05-13 281
如下图,在配置远程×××组策略属性时可以设定分离隧道的模式。Cisco支持三种模式:excludesspecified (选择性不在分离隧道), tunnelall (全部在分离隧道),tunnelspecified (选择性在分离隧道),并且这三种模式不可以同时使用在一个组策略上。 下面说说三种模式的主要区别: ...
基于cisco路由器做IPSec ***隧道
weixin_33753003的博客
07-10 488
实验要求:拓扑图如下所示,R1和R5作为internet中两端内部局域网,通过在网关设备R2和R4上设置IPsec ×××,使两端的局域网之间建立一种逻辑上的虚拟隧道。实验步骤:首先配置所有理由器接口的IP地址(略),并指定默认路由(因为是末梢网络)。R1上面的默认路由如下所示。R2上面的默认路由如下所示。ISP是运营商,在这里用来模拟外部网络,只需要配置IP地址就行。R4上...
总部与多分支***解决方案(hub to spoke拓扑结构)juniper防火墙为例
weixin_33890499的博客
05-13 984
企业案例:总部与多分支×××解决方案(hub to spoke拓扑结构)第1章 hub to spoke应用场景介绍: IPsec ×××可以将公司分散在各地的办公场地安全的连接在一起,用户体验就如同专线连接。各地只需要有互联网接入和支持ipsec ***功能的路由器或者防火墙。 ipsec ***只能够两两互联,如果企业有10个分散的机构,两两互联,每...
NAT 解析
weixin_33840661的博客
09-11 341
网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT,主要原因是:公网地址不够使用;隐藏内部IP地址,增加安全性;允许外网主机访问DMZ。  动态NAT和PAT  在图1中,内部主机访...
asa 5505 调试l2tp over ipsec实例
weixin_34221276的博客
11-08 538
inter vlan 1nameif insideip address 172.16.1.1 255.255.255.0inter vlan 2nameif outsideip address xx.xx.xx.xx 255.255.255.240inter eth 0/0switchport access vlan 1no shutdowninter eth 0/1swit...
ASA 5550 ××× 配置(二之二)
weixin_33681778的博客
08-07 205
ASA 5550 ×××配置 拓扑图如下: IPsec ×××(Ez×××) Ez×××分为Ez××× Server和Ez××× Remote(本文将Ez××× Remote等同于Ez××× Client),Ez××× Server通常就是我们的公司总部,Ez××× Server必须配置在公司总部的支持Ez×××功能的硬件设备上,如路由器,防火墙以及×××...
在Cisco路由器上完整实现OSPF跨网段下IPSec Tunnel模式×××
weixin_34082789的博客
10-09 495
拓扑图如下:说明:ISP之间使用OSPF动态路由协议,R1和R3模拟边界路由,并启用PAT,PC1和PC2模拟内网主机。要求:PC1和PC2能够使用私有IP加密互访,其他Internet流量使用常规PAT访问。各设备配置如下:PC1:conft intf0/0 ipadd192.168.0.1255.255.255.0 noshut exit noipr...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值