防火牆上做Easy***

原創 sxw900725 2018-09-12 07:11

實驗

實驗拓撲圖:

wKiom1U7SLrTvjfxAADxzx5apR0863.jpg



實驗步驟:



路由器和PC機地址規劃:

 

R1(config)#int f0/0

R1(config-if)#ip add 10.0.0.2 255.255.255.0

R1(config-if)#no shut

 

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

 

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

 

R3(config)#int f0/1

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/0

 

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

 

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside


wKioL1U7Sl7QMLh7AAFo3E6Ks5A783.jpg



配置NAT

 

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/1 overload 

R3(config)#int f0/1

R3(config-if)#ip nat out

R3(config-if)#int f0/0

R3(config-if)#ip nat in

 

配置默認路由:

 

R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

ciscoasa(config)# route outside 0 0 100.0.0.2

 

測試PC機是否ping通對端***設備:


wKiom1U7SRyTgKQBAACkLdTat6k118.jpg


ASA上配置Easy***:

 

ciscoasa(config)# crypto isakmp enable outside   //開啓isakmp

ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any  //定義客戶端感興趣流量

ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0   //定義客戶端的IP地址範圍

ciscoasa(config)# username zhangsan password 123123   //設置防火牆登陸的賬戶和密碼

ciscoasa(config)# crypto isakmp policy 1

ciscoasa(config-isakmp-policy)# authentication pre-share 

ciscoasa(config-isakmp-policy)# encryption 3des

ciscoasa(config-isakmp-policy)# hash sh

ciscoasa(config-isakmp-policy)# group 2

ciscoasa(config)# group-policy gpolicy internal    //建立內置組策略

ciscoasa(config)# group-policy gpolicy attributes   //配置策略屬性

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified   //定義所有指定的流量可以通過隧道

ciscoasa(config-group-policy)# split-tunnel-network-list value 110   ///調用ACL

ciscoasa(config-group-policy)# address-pools value vip   //調用地址池

ciscoasa(config)# tunnel-group ez*** type ipsec-ra     //定義隧道組並指定類型爲遠程訪問

ciscoasa(config)# tunnel-group ez*** general-attributes   //指定屬性

ciscoasa(config-tunnel-general)# default-group-policy gpolicy  //調用組策略

ciscoasa(config-tunnel-general)# ex

ciscoasa(config)# tunnel-group ez*** ipsec-attributes  //設置預共享密鑰

ciscoasa(config-tunnel-ipsec)# pre-shared-key abc123  

ciscoasa(config-tunnel-ipsec)# ex

ciscoasa(config)# crypto ipsec transform-set bset esp-3des esp-sha-hmac   ///定義傳輸集

ciscoasa(config)# crypto dynamic-map dmap 1 set transform-set bset  //動態map中調用傳輸集

ciscoasa(config)# crypto map bmap 1 ipsec-isakmp dynamic dmap   //靜態map調用動態map

ciscoasa(config)# crypto map bmap in outside   //靜態map調用在端口

 

測試客戶端訪問與內網通信:

 

wKioL1U7Spbhf1oeAAESCP6SH0o802.jpg


實驗完成

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

教你打造一道超級防禦的電腦防火牆

lichenjing9 2019-02-23 14:06:52

第九章、防火牆與 NAT 伺服器------鳥哥的 Linux 私房菜

woaizca 2019-02-23 14:06:17

iptables的概述及應用(一)

shang61511 2019-02-23 14:04:46

linux 的DNS搭建

夢與時光眠 2019-02-23 13:51:55

CACTI 仙人掌監控平臺

夢與時光眠 2019-02-23 13:51:55

ShareTech 防火牆 使用手冊(適用型號:LB-2225)

yzy747 2019-02-23 13:50:59

dlink dfl-800

sly8259336 2019-02-23 13:49:40

信息系統安全管理以及風險管理

hua0221 2019-02-23 13:43:41

PIX515防火牆配置策略實例(二)

qinyihao 2019-02-23 13:29:34

iptables的詳細介紹及配置方法

qinyihao 2019-02-23 13:29:34

PIX515防火牆配置策略實例(一)

qinyihao 2019-02-23 13:29:33

防火牆的相關知識介紹及命令

譕淚寳唄 2019-02-23 13:28:55

迫使客戶機使用防火牆客戶端

zhanglong0123 2019-02-23 13:27:42

Cisco PIX防火牆配置命令大全

eddylin 2019-02-23 13:21:00

juniper 防火牆常用命令

shining007 2019-02-23 13:15:44