配置实现Ipsec ×××和NAT

最新推荐文章于 2024-08-17 02:49:38 发布

weixin_34067049

最新推荐文章于 2024-08-17 02:49:38 发布

阅读量266

点赞数 1

文章标签：运维网络

原文链接：http://blog.51cto.com/liuwenbing/403297

版权

配置实现Ipsec ×××和NAT

实现环境

Benet公司总部在北京，随着业务扩大，创立了上海分公司，现需要北京总公司与上海分公司之间使用IPSec ×××实现互通，而总公司原网络使用防火墙直接连接Internet，那么防火墙上不但要实现NAT、PAT等功能，还要对所有IPSec流量进行加密运算，如果IPSec流量较大且频繁，可能会占用较高的设备资源，会给网关设备的稳定性带来一定的风险。基于上述考虑，公司通过两台设备负载分担这些任务，修改后拓扑如下，使用路由器做NAT和PAT，使用防火墙做IPSec ×××。

拓扑图

实现步骤

1.配置设备（接口IP地址，路由）

①配置总公司防火墙

1）配置接口IP地址

ASA(config)# interface e0/0

ASA(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA(config-if)# ip addresss 192.168.1.254 255.255.255.0

ASA(config-if)# no shutdown

ASA(config-if)# exit

ASA(config)# interface e0/1

ASA(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA(config-if)# ip address 172.16.1.1 255.255.255.252

ASA(config-if)# no shutdown

ASA(config-if)# exit

2）配置路由

ASA(config)# route outside 0 0 172.16.1.2

②配置R1

1）配置接口IP地址

R1(config)#interface e0/0

R1(config-if)#ip address 172.16.1.2 255.255.255.252

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface e0/1

R1(config-if)#ip address 100.0.0.1 255.255.255.252

R1(config-if)#no shutdown

R1(config-if)#exit

2）配置路由

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

R1(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.1

③配置ISP路由器(不用配置路由)

1）配置接口IP地址

ISP(config)#interface e0/0

ISP(config-if)#ip address 200.0.0.2 255.255.255.252

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface e0/1

ISP(config-if)#ip address 100.0.0.2 255.255.255.252

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface e0/2

ISP(config-if)#ip address 200.1.1.2 255.255.255.252

ISP(config-if)#no shutdown

ISP(config-if)#exit

④配置R3

1）配置接口IP地址

R3(config)#interface e0/0

R3(config-if)#ip address 200.0.0.1 255.255.255.252

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#interface e0/1

R3(config-if)#ip address 192.168.2.254 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#exit

2）配置路由

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

⑤在防火墙和路由器上测试与所连PC能够互通

在防火墙上测试

在ISP上测试

在R3上测试

2.在ASA防火墙和R3上配置IPSec ×××，在R1上配置NAT

①在ASA防火墙上的配置

ASA(config)# crypto isakmp enable outside

ASA(config)# crypto isakmp policy 1

ASA(config-isakmp-policy)# encryption 3des

ASA(config-isakmp-policy)# hash md5

ASA(config-isakmp-policy)# authentication pre-share

ASA(config-isakmp-policy)# group 2

ASA(config-isakmp-policy)# exit

ASA(config)# isakmp key haha address 200.0.0.1

ASA(config)# access-list *** permit ip 192.168.1.0 255.255.255.0 192.168.2.0

ASA(config)# crypto ipsec transform-set transform-haha esp-3des esp-sha-hmac

ASA(config)# crypto map haha-map 1 match address ***

ASA(config)# crypto map haha-map 1 set peer 200.0.0.1

ASA(config)# crypto map haha-map 1 set transform-set transform-haha

ASA(config)# crypto map haha-map interface outside

②在R1上配置NAT

1）配置PAT，实现总公司内部主机访问Internet

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R1(config)#ip nat inside source list 1 interface ethernet 0/1 overload

2）配置端口映射，实现NAT穿透

R1(config)#ip nat inside source static udp 172.16.1.1 500 interface ethernet 0/1 500

R1(config)#ip nat inside source static udp 172.16.1.1 4500 interface ethernet 0/1 4500

3）将NAT应用在接口

R1(config)#interface e0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#interface e0/1

R1(config-if)#ip nat outside

R1(config-if)#exit

③在R3上配置IPSec ×××

R3(config)#crypto isakmp policy 1

R3(config-isakmp)#encryption 3des

R3(config-isakmp)#hash md5

R3(config-isakmp)#authentication pre-share

R3(config-isakmp)#group 2

R3(config-isakmp)#lifetime 86000

R3(config-isakmp)#exit

R3(config)#crypto isakmp key 0 haha address 100.0.0.1

R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

R3(config)#crypto ipsec transform-set transform-haha esp-3des esp-sha-hmac

R3(cfg-crypto-trans)#exit

R3(config)#crypto map haha-map 10 ipsec-isakmp

R3(config-crypto-map)#set peer 100.0.0.1

R3(config-crypto-map)#set transform-set transform-haha

R3(config-crypto-map)#match address 101

R3(config-crypto-map)#exit

R3(config)#interface e0/0

R3(config-if)#crypto map haha-map

R3(config-if)#exit

3.查看IPSec ×××状态

①查看管理连接SA的状态

1）在防火墙上查看

2）在R3上查看

②查看Crypto Map的信息

4.测试总公司与分公司的通信，总公司访问Internet

①各PC的IP参数配置

PC1

PC2

PC3

②使用ping测试总公司和分公司能够互通

用PC1 ping PC2

用PC2 ping PC1

③在各PC上搭建Web服务器，并在PC2上搭建DNS服务器，使局域网能够使用域名www.baidu.com访问Web服务器

1）在各PC上测试网站

在PC1上测试

在PC2上测试

在PC3上测试

3）总公司和分公司之间相互访问对方Web站点

在PC1上访问PC2

0

在PC2上访问PC1

3）PC1访问PC2的Web站点（局域网访问Internet）

转载于:https://blog.51cto.com/liuwenbing/403297

weixin_34067049

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
配置实现Ipsec ×××和NAT

配置实现Ipsec ×××和NAT实现环境Benet公司总部在北京，随着业务扩大，创立了上海分公司，现需要北京总公司与上海分公司之间使用IPSec ×××实现互通，而总公司原网络使用防火墙直接连接Internet，那么防火墙上不但要实现NAT、PAT等功能，还要对所有IPSec流量进行加密运算，如果IPSec流量较大且频繁，可能会占用较高的设备资源，会给网关设备的稳定...
复制链接

扫一扫

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。