第二十期 ASA【防火墙】***配置

实验目的：

1. 10.1.1.0/24网段的主机可以通过×××访问总公司开发数据服务器
   （192.168.1.0/24）。
2. 分公司的其他客户端（10.2.2.0/24网段）可以访问Internet【200.0.0.0/24】
3. 物理机抓包【查看地址是否转换】
   实验步骤：
   1.配置ASA-1地址：
   interface GigabitEthernet0
   nameif inside1\配置为内网1
   security-level 100
   ip address 10.1.1.254 255.255.255.0
   interface GigabitEthernet1
   nameif outside\配置为外网
   security-level 0
   ip address 200.0.0.1 255.255.255.0
   interface GigabitEthernet2
   nameif inside2\配置为内网2
   security-level 100
   ip address 10.2.2.254 255.255.255.0
   2 配置ASA-2地址:
   interface GigabitEthernet0
   nameif inside\配置为内网
   security-level 100
   ip address 192.168.1.254 255.255.255.0
   interface GigabitEthernet1
   nameif outside\配置为外网
   security-level 0
   ip address 200.0.0.2 255.255.255.0
   3.配置ASA-1路由：
   route outside 0.0.0.0 0.0.0.0 200.0.0.2
   4 配置ASA-1 ISAKMP策略：
   crypto ikev1 enable outside
   crypto ikev1 policy 1
   encryption aes
   hash sha
   authentication pre-share
   group 2
   tunnel-group 200.0.0.2 type ipsec-l2l
   tunnel-group 200.0.0.2 ipsec-attributes
   ikev1 pre-shared-key tedu
   5.配置ASA-1 ACL：
   access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0
   6.配置 IPsec 策略【转换集】：
   crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac
   7.配置加密映射集：
   crypto map yf-map 1 match address 100
   crypto map yf-map 1 set peer 200.0.0.2
   crypto map yf-map 1 set ikev1 transform-set yf-set
   8.将映射集应用在端口：
   crypto map yf-map interface outside
   9.配置ASA-2路由：
   route outside 0.0.0.0 0.0.0.0 200.0.0.1
   10.配置ISAKMP 策略【ASA-2】：
   crypto ikev1 enable outside
   crypto ikev1 policy 1 ASA2(config-ikev1-policy)#encryption aes
   hash sha
   authentication pre-share
   group 2
   tunnel-group 200.0.0.1 type ipsec-l2l
   tunnel-group 200.0.0.1 ipsec-attributes
   ikev1 pre-shared-key tedu
   11.配置ACL【ASA-2】：
   access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0
   12.配置 IPsec【ASA-2】：
   crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hma
   13.配置加密映射集【ASA-2】：
   crypto map yf-map 1 match address 100
   crypto map yf-map 1 set peer 200.0.0.1
   crypto map yf-map 1 set ikev1 transform-set yf-set
   14.将映射集应用在端口【ASA-2】：
   crypto map yf-map interface outside
   15.配置PAT：
   ASA-1：object network ob-inside2
   subnet 10.2.2.0 255.255.255.0
   nat (inside2,outside) dynamic interface
   16.配置ACL【ICMP协议允许ping通过】：
   access-list ICMP permit icmp any any
   access-group ICMP in in outside
   实验结果：
   1.10.1.1.0/24网段的主机可以通过×××访问总公司开发数据服务器（192.168.1.0/24）。【Client1为10.1.1.0/24网段】
   
   2.分公司的其他客户端（10.2.2.0/24网段）可以访问Internet【PC为10.2.2.0/24】
   
   3.物理机抓包【查看地址是否转换，物理机上抓包】
   
   实验拓扑图：
   
   谢谢大家，先给大家拜个晚年，祝大家万事如意