拓扑图:
需求:
R1作为局域网出口路由器,承担这PAT地址转换功能。
ASA需要跟R3建立***
R4作为局域网内部机器可以跟R3互联,并可以上外网
步骤:
给所有设备配置ip地址,地址规划如上图所示并默认路由
在R4上面配置ip地址配置默认路由
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
在ASA1上面配置ip地址,默认路由
interface Ethernet0/0 //进接口
nameif outside //配置接口名称
security-level 0 //设置安全等级
ip address 14.0.0.4 255.255.255.0 //配置ip地址
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 14.0.0.1 1 //防火墙配置默认路由
在R1上面配置ip地址,静态路由
interface FastEthernet0/0
ip address 14.0.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 12.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 12.0.0.2
ip route 192.168.1.0 255.255.255.0 14.0.0.4 //给R1指一条返程路由
在R2上面配置ip地址
interface FastEthernet0/0
ip address 12.0.0.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 23.0.0.2 255.255.255.0
duplex auto
speed auto
在R3上面配置ip地址,并配置默认路由
interface Loopback0
ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 23.0.0.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 23.0.0.2
2.让局域网络有设备都能够访问外网,但由于只有一个公网的ip地址所以只能做动态PAT
在R1上面做PAT
interface FastEthernet0/0
ip nat inside
!
interface FastEthernet0/1
ip nat outside
!
access-list 101 permit ip any any
ip nat inside source list 101 interface FastEthernet0/1 overload //做接口负载
3.在两端设备上面做SA安全集,使两端的设备加密方式,hash方式和隧道传输方式等都必须相同才能建立链接
在R3上面配置ipsec ***的相关配置
crypto isakmp policy 1 //配置isakmp加密策略
encr 3des //指定加密方式为3des
hash md5 //指定哈希方式为md5
authentication pre-share //指定认证方式为 与共享方式
group 2 //配置HD交换秘钥组为2
lifetime 120 //生存周期为120秒
crypto isakmp key abc123 address 12.0.0.1 //指定欲共享秘钥为abc123,指定对端的ip地址为12.0.0.1
!
!
crypto ipsec transform-set benetset esp-3des esp-md5-hmac //配置ipsec传输集,在ipsec传输集中指定数据的加密方式,数据哈希方式和数据的传输模式(传输模式还是隧道模式)
!
crypto map benetmap 1 ipsec-isakmp //配置计划的名称
set peer 12.0.0.1 //指定建立邻居的ip地址
set transform-set benetset //调用上面配置的传输集
match address 102 //调用感兴趣流
access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 //通过访问控制列表指定感兴趣流
!
interface FastEthernet0/0 //进入路由器的出口接口
crypto map benetmap //将配置的计划命令
由于对端防火墙配置的私有ip地址,所以不能够从公网上面直接和防火墙进行通讯,所以这里直接指向了局域网的出口路由器的出口ip地址。并要在出口路由器上面做静态PAT,当外网路由***网关时,路由器将自动转换到防火墙从而实现通讯。
ip nat inside source static udp 14.0.0.4 500 12.0.0.1 500 extendable
ip nat inside source static udp 14.0.0.4 4500 12.0.0.1 4500 extendable
4.在防火墙上面配置SA安全集,配置方法和上面基本相同,指定对端的ip地址
crypto ipsec transform-set benetset esp-3des esp-md5-hmac
crypto map benetmap 1 match address benetacl
crypto map benetmap 1 set peer 23.0.0.3
crypto map benetmap 1 set transform-set benetset
crypto map benetmap interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 120
pre-shared-key *
access-list benetacl extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
5.通过上面配置,局域网中的设备便可以方位远端的R3,并可以访问外网
转载于:https://blog.51cto.com/liuyixing51/1575155