在ASA防火墙上配置IPSEC ×××(ASA防火墙直接连接internet)
Pc1----ASA1---------INTERNET--------ASA2-------PC2
1、
ASA防火墙上接口配置IP
2、
ASA防火墙上配置动态NAT,使网络可以访问internet
3、
配置NAT获免,配置哪些流量不需要进行地址转换
Access-list nonat permit ip 192.168.1.0 255.255.255.0 172.168.1.0 255.255.255.0
Nat (inside) 0 access-list nonat
/*在192.168.1.0的网络访问172.168.1.0的网络时不需要进行NAT*/
4、
配置阶段一的×××,建立管理连接
Crypto isakmp enable outside
Crypto isakmp policy 1
Encryption {3des | des | aes}
Hash {md5 | sha}
Authentication pre-share
Group {1 | 2 | 5 | 7}
Isakmp key {0 | 6} keystring address ip_address
5、
建立数据连接
Crypto ipsec transform-set name esp-3des esp-md5-hmac
Crypto map name 1 match address access-list-name
Crypto map name 1 set transform-set name
Crypto map name 1 set peer ip_address
6、
将×××应用到ASA防火墙上的外接口上
Crypto map map-name interface outside
由于ASA防火墙连接外网的接口安全级别为0,假设有这种情况,现在BJ为总公司,SH是分公司一,GZ是分公司二,三个公司全是用的ASA防火墙直接连接外网;现为三个公司间建立×××,由于两个分公司的×××连接全是连接到总公司的外接口上,而总公司的外接口的安全级别是相同的,这时就会产生一个情况:
1、
两个分公司可以和总公司进行数据的传输
2、
分公司间的数据连接是不通的
3、
解决方法:
Same-security-level {intra-interface | inter-interface}
Intra-interface:表示两个分公司与总公司的同一个接口建立×××连接
Inter-interface:表示两个分公司分别与总公司的不同接口建立×××连接
ASA防火墙不直接连接外网,而是通过路由器连接外网
Pc1--------ASA1-------R1--------------INTERNET---------------R2------------ASA2-------------PC2
1、
在ASA防火墙上配置IPSEC ×××
Crypto isakmp enable outside
Crypto isakmp policy 1
Encryption {3des | des | aes}
Hash {md5 | sha}
Authentication pre-share
Group {1 | 2 | 5 | 7}
Isakmp key {0 | 6} keystring address ip_address (路由器外接口地址)
Crypto ipsec transform-set name esp-3des esp-md5-hmac
Crypto map name 1 match address access-list-name
Crypto map name 1 set transform-set name
Crypto map name 1 set peer ip_address (路由器外接口地址)
2、
在路由器上配置地址转换
Ip nat inside source list access-list-name interface f0/0
Ip nat inside source static local-ip port 外网接口 500
Ip nat inside source static local-ip port 外网接口 4500
Local-ip:ASA防火墙与路由器连接的接口IP
Pc1--------ASA1-------R1--------------INTERNET------------------ASA2-------------PC2
1、
在ASA1防火墙上配置IPSEC ×××
2、
在R1上配置NAT
3、
在ASA2上配置IPSEC ××× 和 NAT
路由器与ASA防火墙配置的区别
1、
路由器的ISAKMP策略默认是开通的;防火墙IASKMP策略默认是关闭的,需要用crypto isakmp enable outside命令开启
2、
路由器默认配置加密算法采用的是DES,防火墙默认加密算法为3DES;
3、
路由器的DH组为1;防火墙的DH组为2
4、
防火墙在创建预共享密钥时可以采用隧道组的方式
5、
防火墙对同安全级别接口×××的配置
Same-security-level traffic intra-interface