第一次修訂:2010.10.26 調整了排版格式,增加了SITE-TO-SITE段的配置過程總結。
一、背景介紹
目前公司使用的SONICWALL 3060PRO舊了,訂購了一臺CISCO ASA5520-K8設備更換現有設備。
現有的網絡結構及需求如下:
1、能與各公司做SITE-TO-SITE ***而且要求對端支持sonicwall設備。
2、做one-to-one地址映射能發佈服務器。
3、支持限制客戶端上網規則設置。
4、支持remote-***功能,某些用戶設置權限只允許通過***訪問特定的某(幾)臺服務器,防止***或病毒傳染。
注:公司共16個IP地址,有兩個網段一個是59.61段,一個是59.57段,其中59.57段中某個IP地址設置爲接口IP.
內部共7個網段分別是:192.168.0.0/24到192.168.7.0/24 *7網段子網爲客戶專用的VLAN,做了隔離。
Client PC---CISCO3750G-24TS-E(多個VLAN啓三層接口)---CISCO ASA5520-K8
遇到的問題:
當我把服務器發佈後(one-to-one)發現發佈的服務器在外網無法訪問,而配置也正常,從服務器上PING外網無法PING通。
解決方法:打電話給ISP叫他們幫助清空上級路由器的ARP信息後即可成功。【這個問題搞了我快3個小時,支持電話打了無數】
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
題外話:最近我試用了WPS2010軟件,個人版操作界面與易用性、兼容性非常不錯,您可以下載回來試用一下。對於個人版是免費的。
二、把現有SONICWALL設備上的規則記錄下來。並做成表格:
1、需要服務器發佈的規則(注:因爲以前的SONICWALL PRO 3060 不支持一個IP地址指向多個服務器的不同端口,所以以下的方法比較浪費IP地址,但是因爲是升級現有環境,而且這個IP已經對外使用了很長一段時間了,暫時無法做出整合)
2、發佈服務器的服務組(只寫了一個服務組的配置,其它的類似,如果端口不多也可以不使用服務組,直接在ACL中指定端口)
3、客戶機上網規則及限制
黑名單限制
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
CISCO ASA5520-K8【最好到CISCO的網站上免費升級到K9使之支持3DES等加密碼方法】。
我先來幾張圖
整體
面板 作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
接口
接口近照
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
自帶的上架耳朵。
三、設備基本配置
1、從光盤中升級現有的系統和相關軟件
略......
以下配置均以升級後的IOS asa 831的命令爲準,之前的版本會有差異:BOOT variable = disk0:/asa831-k8.bin
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
1、啓用NAT使內部用戶能上網
/*主機網絡組obj_any以之前需要定義,它包含內部的所有子網*/
2、建立服務組、網絡組及發佈服務器(摘錄)
//服務(端口)組srv-mails-outs包含兩個子服務組srv-mail-both和srv-mail-both即組嵌套
3、發佈服務器及設置ACL應用到接口(摘錄)
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
4、靜態地址映射爲外部獨立IP地址爲內部主機的IP地址
5、建立內部用戶訪問外部的規則集(摘錄)
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
我們總結一個發佈服務器的流程。注意因爲IOS版本的不同,做法和以前的有些不太一樣。
到此網絡和服務發佈部份完成,下面開始建立site-to-site的***和啓用web***。
四、配置site-to-site的***,共有兩個階段,如下圖
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
***對端的IP地址段爲192.168.8.0/255.255.248.0 也就是8-10網段
1、設置ACL允許本地子網絡訪問到對端的子網
2、設置ISAKMP,此爲第一階段的設置內容。
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
以下爲第二個階段的配置
3、設置轉換集
/*注因爲我設置***的時候還未升級爲K9所以只能使用des加密碼方法,這些設置必須和對端口的設置一樣。見上圖的第二階段。
4、設置crypto加密圖,作用是進一步設置***信息及把之前的第一、二階段應用到接口上。
/*建一個名叫cisco 編號爲20的匹配acl叫REMOTE-***的加密圖。
/*第一階段已經應用到outside接口上了,所以這裏只應用第二階段的轉換集。
/*應用加密碼圖到外部接口*/
5、設置通道組
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
五、設置IPSEC remote ***.
1、設置遠程***的DHCP地址池,爲遠程用戶分配IP地址。
2、設置isakmp的策略編號爲30
3、設置轉換集。因爲這裏我採用的是ASDM的精靈模式建的,所以選擇了很多的加密碼方法,造成自動生成的轉換集有很多,你可以根據你的情況或只選擇其一使用也可以。
4、設置動態加密圖,因爲***用戶的IP地址是動態IP地址,您可以改。注意這裏的編號65535要一致。
/*使用轉換集,需要使用多少個就寫多少個,只使用1個就寫1個,如果只有一個的話需要告知用戶你使用的加密協議,對方纔能連接上來,安全但沒有全部寫完靈活*/
5、把動態加密圖映射到cisco 編號爲65535.因爲之前已經把cisco這個加密圖應用到接口上去了,所以這裏不需要在再應用,這裏也要注意一個接口只能應用一個加密碼圖,所以cisco名字必須前後對應。
6、配置通道分離及自定義策略名叫group-***的組策略
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
7、定義通道組
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
8、增加用戶test及密碼。
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
六、配置SSL***
1、增加ACL允許本地子網的那些主機(網絡能與遠程通訊,我這裏只允許0和1網段,因爲這兩個網段都分配爲服務器,遠程用戶需要訪問)。
/*允許本地IP 0.0段與1.0段訪問遠程***客戶機,最好把允許PING的功能增加上去以方便調試*/
/*DM_INLINE_NETWORK 這個服務組包含有ping和tracert協議,根據您的情況決定是否需要*/
2、啓用web***
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
3、設置名叫:MYSSL***-GROUP-POLICY ,它爲SSL-***通道組要使用的策略
4、增加通道組的共有屬性
5、增加ACL限制test01這個用戶只能訪問特定的服務器。
/*設置遠端用戶只能訪問1.1和1.22這兩個IP地址,如果需要PING通,則還需要單獨定義允許PING的ACL.
6、增加用戶並設置權限
作者:鄧衛華 2010.10.23 http://dengweihua1.blog.51cto.com
本文出自 “鄧衛華” 博客,請務必保留此出處http://dengweihua1.blog.51cto.com/134932/409387