本文详细介绍了Cisco ASA防火墙与路由器之间建立×××连接的配置步骤,包括设备初始化、路由配置、NAT配置、ISAKMP/IKE配置及测试等关键环节,并提供了具体的CLI命令实例。
实验配置步骤参考:
1、设备初始化
3、配置路由
4、配置NAT
5、配置ISAKMP/IKE阶段1
6、配置ISAKMP/IKE阶段2
7、测试
-----------------------------------------------------------------------------------------
1、设备初始化
ciscoasa(config)#hostname ASA5520
ASA5520(config)#int e0/0
ASA5520(config-if)#nameif outside
ASA5520(config-if)#security-level 0
ASA5520(config-if)#ip add 172.16.2.1 255.255.255.0
ASA5520(config-if)#no sh
ASA5520(config)#int e0/1
ASA5520(config-if)#nameif inside
ASA5520(config-if)#security-level 100
ASA5520(config-if)#ip add 192.168.20.254 255.255.255.0
ASA5520(config-if)#no sh
2811-R1(config)#hostname 2811-R1
2811-R1(config)#int e0/0
2811-R1(config-if)#ip add 172.16.1.1 255.255.255.0
2811-R1(config-if)#no sh
2811-R1(config)#int e0/1
2811-R1(config-if)#ip add 192.168.10.254 255.255.255.0
2811-R1(config-if)#no sh
internet(config)#int e0/0
internet(config-if)#ip add 172.16.1.254 255.255.255.0
internet(config-if)#no sh
internet(config)#int e0/1
internet(config-if)#ip add 172.16.2.254 255.255.255.0
internet(config-if)#no sh
2、配置路由(作用:保证×××加/解密点之间能通信)
ASA5520(config)#route outside 0.0.0.0 0.0.0.0 172.16.2.254
2811-R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.254
3、配置NAT
ASA5520(config)#access-list NONAT permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0---(不进行NAT转换)
ASA5520(config)#nat (inside) 0 access-list NONAT------表示NAT豁免技术
ASA5520(config)#nat (inside) 1 192.168.20.0 255.255.255.0
ASA5520(config)#global (outside) 1 interface
2811-R1(config)#ip access-list extended NAT 定义什么流量进行NAT转
2811-R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255------这是×××的流量,所以不进行NAT转换
2811-R1(config-ext-nacl)#permit ip any any 允许其他流量进行NAT转换
2811-R1(config)#ip nat inside source list NAT interface e0/0 overload
2811-R1(config)#int e0/0
2811-R1(config-if)#ip nat outside
2811-R1(config)#int e0/1
2811-R1(config-if)#ip nat inside
--------------------------------------------------------------------------------------------------------------------
4、配置ISAKMP/IKE阶段1(作用:建立×××的管理连接)
1)配置ISAKMP/IKE策略
ASA5520(config)#crypto isakmp enable outside 启用ISAKMP协议
ASA5520(config)#crypto isakmp policy 1 定义第一阶段ISAKMP/IKE策略
ASA5520(config-isakmp)#hash md5 哈希使用md5
ASA5520(config-isakmp)#encryption des 加密方式使用3DES(对称)
ASA5520(config-isakmp)#group 2 DH加密算法强度
ASA5520(config-isakmp)#authentication pre-share 验证用预共享密钥
2811-R1(config)#crypto isakmp policy 1 定义第一阶段ISAKMP/IKE策略
2811-R1(config-isakmp)#hash md5 哈希算法使用md5
2811-R1(config-isakmp)#encryption des 加密方式使用3DES(对称)
2811-R1(config-isakmp)#group 2 DH加密算强度
2811-R1(config-isakmp)#authentication pre-share 验证用预共享密钥
2)配置预共享密钥
ASA5520(config)#crypto isakmp key cisco address 172.16.1.1
2811-R1(config)#crypto isakmp key 0 cisco address 172.16.2.1
5、配置ISAKMP/IKE阶段2(作用:建立×××的数据连接)
1)、配置ACL定义×××连接所保护的流量
ASA5520(config)#access-list ××× permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0
2811-R1(config)#ip access-list extended ××× 定义***感兴趣流
2811-R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
2)、定义Ipsec传输集(转换集)
ASA5520(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac
2811-R1(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac
3)、配置crypto map加密映射(作用:关联ACL和ipsec传输集设置)
ASA5520(config)#crypto map ×××-MAP 1 ipsec-isakmp 全局启用ipsec-ISAKMP协议
ASA5520(config)#crypto map ×××-MAP 1 match address ×××
ASA5520(config)#crypto map ×××-MAP 1 set peer 172.16.1.1 指定对方的加/解点
ASA5520(config)#crypto map ×××-MAP 1 set transform-set ESP-T
2811-R1(config)#crypto map ×××-MAP 1 ipsec-isakmp 默认已开启
2811-R1(config-crypto-map)#set transform-set ESP-T 调用转换集
2811-R1(config-crypto-map)#match address ××× 匹配需加密的流量
2811-R1(config-crypto-map)#set peer 172.16.2.1 指明对方加(解)密点
4)、crypto map接口应用
ASA5520(config)#crypto map ×××-MAP interface outside
2811-R1(config)#int e0/0
2811-R1(config-if)#crypto map ×××-MAP 端口调用加密映射
6、测试
1)路由器×××查看与排错命令:
Show crypto isakmp policy 显示所有尝试的策略以及最后的默认策略设置:
clear cry session 清除×××连接
Show crypto ipsec transform-set 显示ipsec传输集设置
Show crypto map 显示crypto map相关配置
Show cyrpto isakmp sa 显示ISAKMP/IKE阶段1安全联盟SA---×××连接
Show crypto ipsec sa 显示ISAKMP/IKE阶段2安全联盟SA
Show crypto engine connction active 显示×××连接加\解密的数据包数量
2)ASA防火墙×××查看与排错命令:
show ***-sessiondb l2l 查看l2l ***的连接状态信息
转载于:https://blog.51cto.com/zg888/393236
扫一扫
449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
