IPSEC ×××实验二：ASA IPSEC ×××

最新推荐文章于 2024-07-21 15:49:55 发布

weixin_33754065

最新推荐文章于 2024-07-21 15:49:55 发布

阅读量108

点赞数

文章标签：网络运维

原文链接：http://blog.51cto.com/windows1009/698552

版权

实验拓朴图

实验目的：总部ASA5520与分支机构CISCO2911建立起IPSEC ×××，实现10.10.10.0/24与172.16.1.0/24两个子网的互访。即PC1与PC2能够互相PING通。

实验环境搭建工具：使用的工具有dynmips工大瑞普CCNP版、 vmware+ASA镜像。除ASA外，其它设备全由dynmips路由器模拟。包括PC1，PC2，ASA与dynmips的连接采用虚拟网卡的桥接。

使的拓朴为：控制台 ×××.cmd

下面为各个设备键入的配置：

R1模拟的是一台PC，因此只需给他配置一个IP，指定一个网关就可以了。

interface Serial1/1
ip address 10.10.10.2 255.255.255.0
no sh
exit

no ip routing //关闭路由
ip default-gateway 10.10.10.1 //网关指定为10.10.10.1

R2模拟的是一台3560三层交换机，如果是真实的设备，肯定还要配VLAN等其它的配置，现在就省略了。我现在只要它能通。
只需配置接口IP，与默认路由

interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no sh
interface Serial1/0
ip address 10.10.10.1 255.255.255.0
no sh

ip route 0.0.0.0 0.0.0.0 192.168.1.1 //下一跳指向防火墙inside口

ASA

ASA需要配置IP，划分区域，设置权限，路由，设置IPSEC×××

interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0

access-list outside extended permit ip any any
access-group outside in interface outside

route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
route inside 10.10.10.0 255.255.255.0 192.168.1.2 1

access-list ipsec*** extended permit ip host 10.10.10.2 host 172.16.1.2
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
pre-shared-key cisco

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map l2l 1 match address ipsec***
crypto map l2l 1 set peer 2.2.2.2
crypto map l2l 1 set transform-set myset
crypto map l2l interface outside
crypto isakmp enable outside

R3模拟了ISP的路由器，只需要配置接口IP就行了。

interface FastEthernet0/0
ip address 1.1.1.2 255.255.255.0
no sh
interface Serial1/1
ip address 2.2.2.1 255.255.255.0
no sh

R4作为分支机构边界路由器，需要配置IP，默认路由，IPSEC×××

interface Serial1/0
ip address 2.2.2.2 255.255.255.0
crypto map mymap
no sh

interface Serial1/2
ip address 172.16.1.1 255.255.255.0
no sh

ip route 0.0.0.0 0.0.0.0 2.2.2.1

access-list 100 permit ip host 172.16.1.2 host 10.10.10.2

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set myset
match address 100

R5是模拟的一台PC，和R1是一样的，只需配置IP和指定网关。

interface Serial1/3
ip address 172.16.1.2 255.255.255.0
no sh
exit

no ip routing

ip default-gateway 172.16.1.1

到现在配置完成了。。

IPSEC成功建立，但是遇到一个问题，如果配置了NAT，则IPSEC SA关系则建立不了，R1与R5也是PING不通的，

我搜索了很多解决办法，没有一个完善的，后来终于想明白了，现在就分享给大家吧。。

解决办法：去往ipsec ***目的的流量不经过NAT，其它流量才经过NAT，是不是太简单了吧!!!!!!!!!!

ASA配置：

access-list ipsec*** permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0

nat (inside) 0 access-list ipsec***

nat (inside) 1 0 0

global (outside) 1 interface

路由器配置

ip access-list extended nat
deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 any

ip nat pool natpool 2.2.2.10 2.2.2.10 netmask 255.255.255.0
ip nat inside source list nat pool natpool overload

interface Serial1/0
ip nat outside
interface Serial1/2
ip nat inside

搞定了哈，很开心。。

以下的配置文件不包括NAT配置

R1 配置