ASA防火牆的遠程×××(Ez***)
接着上篇路由器的Ez***,下面實驗中模擬ASA防火牆的遠程***。遠程移動用戶經過cisco *** client連上總部內網進行資源訪問。以下拓撲圖:
實驗配置:
R1>en
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火牆====================================
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火牆====================================
lwmfw# conf t
lwmfw(config)#
lwmfw(config)# int e0/0
lwmfw(config-if)# no sh
lwmfw(config-if)# security-level 100
lwmfw(config-if)# nameif inside
lwmfw(config-if)# ip add 192.168.1.2 255.255.255.0
lwmfw(config-if)# int e0/1
lwmfw(config-if)# no sh
lwmfw(config-if)# security-level 0
lwmfw(config-if)# nameif outside
lwmfw(config-if)# ip add 118.97.225.242 255.255.255.252
lwmfw(config-if)# end
lwmfw(config)# host lwmfw
lwmfw(config)# access-list 101 permit icmp any any
lwmfw(config)# access-list 101 permit ip any any
lwmfw(config)# access-group 101 in interface outside
lwmfw(config)# route outside 0.0.0.0 0.0.0.0 118.97.225.241
lwmfw(config)# route inside 172.16.16.0 255.255.255.0 192.168.1.1
lwmfw(config)# crypto isakmp policy 10
lwmfw(config-isakmp-policy)# authentication pre
lwmfw(config-isakmp-policy)# en 3des
lwmfw(config-isakmp-policy)# hash sha
lwmfw(config-isakmp-policy)# group 2
lwmfw(config-isakmp-policy)# exit
lwmfw(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac
lwmfw(config)# crypto dynamic-map liwenming 10 set transform-set myset
lwmfw(config)# crypto map liwenming1 20 ipsec-isakmp dynamic liwenming
lwmfw(config)# crypto isakmp enable outside
lwmfw(config)# crypto map liwenming1 interface outside
lwmfw(config)# ip local pool remote*** 192.168.100.100-192.168.100.200
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分離
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分離
配置用戶組策略
lwmfw(config)# group-policy limingya internal
lwmfw(config)# group-policy limingya attributes
lwmfw(config-group-policy)# address-pools value remote***
lwmfw(config-group-policy)# dns-server value 202.103.24.68
lwmfw(config-group-policy)# split-tunnel-policy tunnelspecified
lwmfw(config-group-policy)# split-tunnel-network-list value split_tunnel_list
配置用戶隧道信息
配置用戶隧道信息
lwmfw(config-group-policy)# tunnel-group limingya1 type ipsec-ra
lwmfw(config)# tunnel-group limingya1 general-attributes
lwmfw(config-tunnel-general)# default-group-policy limingya1
lwmfw(config-tunnel-general)# exit
lwmfw(config)# tunnel-group limingya1 ipsec-attributes
lwmfw(config-tunnel-ipsec)# pre-shared-key limingya1
lwmfw(config-tunnel-ipsec)# exit
建立遠程用戶名和密碼
lwmfw(config)# username liwenming password liwenming
lwmfw(config)# end
lwmfw#
NAT和訪問控制
lwmfw(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
INFO: outside interface address added to PAT pool
lwmfw(config)# access-list 102 extended permit ip host 172.16.16.2 any
lwmfw(config)# nat (inside) 1 access-list 102 對列表102的主機NAT轉換
NAT繞過***
NAT繞過***
lwmfw(config)#access-list nonat extended permit ip 172.16.16.0 255.255.255.0 192.168.100.0 255.255.255.0
lwmfw(config)# nat (inside) 0 access-list nonat
======================================R2=========================================
R2#conf t
R2(config)#
R2(config)#int e1/1
R2(config-if)#ino sh
R2#conf t
R2(config)#
R2(config)#int e1/1
R2(config-if)#ino sh
R2(config-if)#ip add 202.1.1.1 255.255.255.0
R2(config-if)#int lo 0
R2(config-if)#no sh
R2(config-if)#ip add
R2(config-if)#ip add 2.2.2.2 255.255.255.0 -配置環回口測試外網
R2(config-if)#end
R2#
R2(config-if)#int lo 0
R2(config-if)#no sh
R2(config-if)#ip add
R2(config-if)#ip add 2.2.2.2 255.255.255.0 -配置環回口測試外網
R2(config-if)#end
R2#
遠程客戶端鏈接調試:
客戶端成功鏈接到總部ASA防火牆。得到ip爲192.168.100.100。下面測試客戶端訪問總部內部服務器資源,因爲時間緣由,本文以mstsc遠程桌面鏈接到總部一臺服務器進行測試。以下圖:測試遠程客戶端與服務器的連通性,由下圖中知,通訊正常
如今測試遠程桌面鏈接:
遠程客戶端遠程桌面登陸到了總部服務器,正常訪問
下面咱們來測試遠程用戶鏈接到了總部網絡後,可否正常訪問外網
說明:遠程用戶訪問外網正常,這其中用到了Tunnel split隧道分離,Tunnel split 解決了遠程用戶既能夠上網又能夠經過×××訪問公司內網服務器經過定義一個ACL的方式來向遠程客戶端指明哪一個內部網絡是須要加密訪問的,其餘的正常明文通訊
沒有隧道分離是沒法正常訪問外網的
下面簡單調試下防火牆,查看下NAT及IKE:
成功激活一個IKE SA ,IKE peer爲202.1.1.2,主機172.16.16.2,NAT匹配成功
相關文章
- 1. Cisco防火牆ASA-EZ***配置
- 2. ASA防火牆
- 3. Cisco ASA防火牆
- 4. Cisco ASA防火牆基礎
- 5. ASA防火牆限速
- 6. CA防火牆ASA配置
- 7. 24-思科防火牆:ASA透明防火牆實驗
- 8. 基於ASA防火牆的SSL ×××配置
- 9. ASA防火牆之URL的過濾
- 10. 19-思科防火牆:ASA靜態NAT
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • Git 遠程倉庫(Github) - Git 教程
- • Java 8 Stream 教程
- • YAML 入門教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Cisco防火牆ASA-EZ***配置
- 2. ASA防火牆
- 3. Cisco ASA防火牆
- 4. Cisco ASA防火牆基礎
- 5. ASA防火牆限速
- 6. CA防火牆ASA配置
- 7. 24-思科防火牆:ASA透明防火牆實驗
- 8. 基於ASA防火牆的SSL ×××配置
- 9. ASA防火牆之URL的過濾
- 10. 19-思科防火牆:ASA靜態NAT