IPSec *** 基于防火墙Firewalls ASA 的配置实现

某软件开发公司在中小城市建立了分公司，分公司开发项目小组所在网络地址为 10.1.1.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器（192.168.1.0/24）。 分公司的其他客户端（10.2.2.0/24 网段）可以访问 Internet。

 

实验用虚拟环境

aca1网卡

 

aca2网卡

端口管道设置

vmnet1

vmnet2

 

vmnet3

 

vmnet8

实验环境搭建完成

根据上述需求，网络管理员需要在分公司的 ASA1 上同时配置 ××× 和 PAT。

ASA配置命令

配置接口的名称

 interface g0 

nameif intside

配置接口的安全级别

security-level  100 （0-100）

interface g1  

nameif outside

security-level  0

asa842 ASA配置

 

 

asa843 ASA 配置

 

 

1．分公司的 ASA1 路由方面的配置 

ASA2(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2 

配置 ISAKMP 策略 

ASA2(config)#crypto ikev1 enable outside 

ASA2(config)#crypto ikev1 policy 1 

ASA2(config-ikev1-policy)#encryption aes

 ASA2(config-ikev1-policy)#hash sha 

ASA2(config-ikev1-policy)#authentication pre-share 

ASA2(config-ikev1-policy)#group 2

 R1(config)#crypto isakmp key tedu address 200.0.0.1 //之前在路由器上的这条命令在防 火墙上变成以下配置：

 ASA2 (config)# tunnel-group 200.0.0.2 type ipsec-l2l 

ASA2 (config)# tunnel-group 200.0.0.2 ipsec-attributes 

ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

 配置 ACL 

ASA2(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0 

配置 IPSec 策略（转换集）

 ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

 配置加密映射集

 ASA2(config)#crypto map yf-map 1 match address 100 ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2 ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set 

将映射集应用在接口

 ASA2(config)#crypto map yf-map interface outside 

2．总公司的 ASA2 路由方面的配置 

ASA3(config) # route outside 0.0.0.0 0.0.0.0 200.0.0.1 

配置 ISAKMP 策略 

ASA3(config)#crypto ikev1 enable outside ASA2(config)#crypto ikev1 policy 1 

ASA3(config-ikev1-policy)#encryption aes ASA2(config-ikev1-policy)#hash sha 

ASA3(config-ikev1-policy)#authentication pre-share

 ASA3(config-ikev1-policy)#group 2 

ASA3 (config)# tunnel-group 200.0.0.1 type ipsec-l2l 

ASA3(config)# tunnel-group 200.0.0.1 ipsec-attributes 

ASA3 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu 

配置 ACL 

ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0 

配置 IPSec 策略（转换集） 

ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac 

配置加密映射集

 ASA2(config)#crypto map yf-map 1 match address 100 ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1 ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set 将映射集应用在接口

 ASA2(config)#crypto map yf-map interface outside

 测试： Client1 访问 Server1 的 Web

 

查看管理连接 SA 的状态

PAT 的配置 

ASA2(config)# object network ob-inside2 

ASA2(config-network-object)# subnet 10.2.2.0 255.255.255.0

ASA(config-network-object)# nat (inside2,outside) dynamic interface

asa842(config)# access-list icmp permit icmp any any

asa842(config)# access-group icmp in int outside

PC1 上网测试：ping 200.0.0.3

 

 

物理机抓包

物理机上虚拟网卡IP修改，然后在PC1上ping200.0.0.3，并且物理机抓包