企业IPSec ***安全访问技术_第1张图片

实验要求:

  1、client1使用***技术访问server1服务器

  2、pc1正常上网,外网IP为200.0.0.2

  3、pc1使用pnt地址转换上网


1.分公司的 ASA1

路由方面的配置

route outside 0.0.0.0 0.0.0.0 200.0.0.2

配置 ISAKMP 策略

ASA1(config)#crypto ikev1 enable outside

ASA1(config)#crypto ikev1 policy 1

ASA1(config-ikev1-policy)#encryption aes

ASA1(config-ikev1-policy)#hash sha

ASA1(config-ikev1-policy)#authentication pre-share

ASA1(config-ikev1-policy)#group 2

R1(config)#crypto isakmp key tedu address 200.0.0.1 //之前在路由器上的这条命令在防

火墙上变成以下配置:

ASA1 (config)# tunnel-group 200.0.0.2 type ipsec-l2l

ASA1 (config)# tunnel-group 200.0.0.2 ipsec-attributes

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置 ACL

ASA1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0

配置 IPSec 策略(转换集)

ASA1(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集

ASA1(config)#crypto map yf-map 1 match address 100

ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2

ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口

ASA1(config)#crypto map yf-map interface outside


2.总公司的 ASA2

路由方面的配置

route outside 0.0.0.0 0.0.0.0 200.0.0.1

配置 ISAKMP 策略

ASA2(config)#crypto ikev1 enable outside

ASA2(config)#crypto ikev1 policy 1

ASA2(config-ikev1-policy)#encryption aes

ASA2(config-ikev1-policy)#hash sha

ASA2(config-ikev1-policy)#authentication pre-share

ASA2(config-ikev1-policy)#group 2

ASA2 (config)# tunnel-group 200.0.0.1 type ipsec-l2l

ASA2 (config)# tunnel-group 200.0.0.1 ipsec-attributes

ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置 ACL

ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0

配置 IPSec 策略(转换集)

ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集

ASA2(config)#crypto map yf-map 1 match address 100

ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1

ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口

ASA2(config)#crypto map yf-map interface outside

测试:

Client1 访问 Server1 的 Web


企业IPSec ***安全访问技术_第2张图片

查看管理连接 SA 的状态

企业IPSec ***安全访问技术_第3张图片


PAT 方面的配置

ASA1(config)# object network ob-inside2

ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0

ASA1(config-network-object)# nat (inside2,outside) dynamic interface

PC1 上网测试:ping 200.0.0.2

物理机抓包

企业IPSec ***安全访问技术_第4张图片