思科asa5520防火牆配置***

1、實驗拓撲

---

2、***是什麼？

×××（Virtual Private Network，虛擬專用網）就是在兩個網絡實體之間創建的一種受保護的鏈接，這兩個實體能夠經過點到點的鏈路直接相連，也能夠經過 Internet 相連。

---

3、實驗目的

1.使用***讓Client1能夠訪問Server1的web
2.查看管理鏈接sa的狀態，並清除sa記錄
3.設置pat，讓pc機訪問外網200.0.0.2，並抓包查看

---

4、配置設置

設備ip設置
Pc1機ip設置：10.2.2.1 掩碼255.255.255.0 網關：10.2.2.254
Client1的ip設置：10.1.1.1 掩碼255.255.255.0 網關：10.1.1.254
Server1的ip設置：192.168.1.0 掩碼255.255.255.0 網關：192.168.1.254
——————————————————————————————————
防火牆FW1網關設置
G0：網關10.1.1.254 掩碼：255.255.255.0
G1：網關200.0.0.1 掩碼：255.255.255.0
G2：網關10.2.2.254 掩碼：255.255.255.0
——————————————————————————————————
防火牆Fw2網關設置
G0：網關192.168.1.254 掩碼：255.255.255.0
G1：網關200.0.0.2 掩碼：255.255.255.0

---

5、防火牆配置思路及代碼展現

1.防火牆1（asa1）

a、進入端口g0設置區域爲inside1，安全級別100，設置ip網關10.1.1.254 。進入端口g1設置區域爲outside，安全級別0，設置ip爲200.0.0.1。進入端口g2設置區域爲 inside2，安全級別100，設置ip網關10.2.2.254。
b、設置靜態路由：route outside 0.0.0.0 0.0.0.0 200.0.0.2
c、設置acl：容許10.1.1.0網段訪問192.168.1.0網段
d、配置ISAKMP策略、置加密協議 isakmp 、配置IPSec策略（轉換集）、配置加密映射集、將映射集應用在接口

ciscoasa(config)# hostname asa1 //修更名稱爲asa1

asa1(config)# int g0 //進入端口g0
asa1(config-if)# no shutdown //開啓端口
asa1(config-if)#nameif inside1 //設置區域名稱inside1
asa1(config-if)#security-level 100  //設置區域安全級別100
asa1(config-if)#ip address 10.1.1.254 255.255.255.0 //設置網關ip

asa1(config)# int g1 //進入端口g1
asa1(config-if)# no shutdown //開啓端口
asa1(config-if)#nameif outside //設置區域名稱outside
asa1(config-if)#security-level 0 //設置區域安全級別0
asa1(config-if)#ip address 200.0.0.1 255.255.255.0 //設置網關ip

asa1(config)# int g2 //進入端口g2
asa1(config-if)# no shutdown //開啓端口
asa1(config-if)#nameif inside2 //設置區域名稱inside2
asa1(config-if)#security-level 100 //設置區域安全級別100
asa1(config-if)#ip address 10.2.2.254 255.255.255.0  //設置網關ip
asa1(config-if)#exit //退出

設置靜態路由
asa1(config-if)# route outside 0.0.0.0 0.0.0.0 200.0.0.2  //設置靜態路由，使用默認路由嚇一跳爲200.0.0.2

配置ISAKMP策略
asa1(config)# crypto ikev1 enable outside //開啓加密協議isakmp，名稱ikev1，方向outside區域
asa1(config)# crypto ikev1 policy 1 //設置加密協議isakmp策略爲1
asa1(config-ikev1-policy)# encryption aes  //使用aes加密
asa1(config-ikev1-policy)# hash sha   //設置哈希算法爲sha
asa1(config-ikev1-policy)# authentication pre-share  //採用預共享密鑰方式
asa1(config-ikev1-policy)# group 2 //指定DH算法的密鑰長度爲組2
asa1(config-ikev1-policy)# exit //退出

設置加密協議 isakmp 
asa1(config)# tunnel-group 200.0.0.2 type ipsec-l2l //設置隧道目標地址爲200.0.0.2，類型爲點對點方式
asa1(config)# tunnel-group 200.0.0.2 ipsec-attributes  //設置隧道的加密策略
asa1(config-tunnel-ipsec)# ikev1 pre-shared-key tedu //設置加密策略的密鑰爲tedu
asa1(config-tunnel-ipsec)# exit //退出

配置acl
asa1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0 //設置acl容許10.1.1.0網段訪問192.168.1.0網段

配置IPSec策略（轉換集）
asa1(config)# crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac  //配置IPSec策略（轉換集）

配置加密映射集
asa1(config)# crypto map yf-map 1 match address 100 //設置加密圖 yf-map匹配acl 100
asa1(config)# crypto map yf-map 1 set peer 200.0.0.2  //創建加密圖鄰居爲200.0.0.2
asa1(config)# crypto map yf-map 1 set ikev1 transform-set yf-set  //設置加密圖IPSec策略轉換集

asa1(config)# crypto map yf-map interface outside //將映射集應用在接口

---

2.防火牆2（asa2）

a、進入端口g0設置區域爲inside，安全級別100，設置ip網關192.168.1.254 。進入端口g1設置區域爲outside，安全級別0，設置ip爲200.0.0.2。
b、設置靜態路由：route outside 0.0.0.0 0.0.0.0 200.0.0.1
c、設置acl：容許192.168.1.0網段訪問10.1.1.0網段
d、配置ISAKMP策略、置加密協議 isakmp 、配置IPSec策略（轉換集）、配置加密映射集、將映射集應用在接口

ciscoasa(config)# hostname asa2 //修更名稱爲asa2

Asa2(config)# int g0 //進入端口g0
Asa2(config-if)# no shutdown //開啓端口
Asa2(config-if)#nameif inside //設置區域名稱inside
Asa2(config-if)#security-level 100 //設置區域安全級別100
Asa2(config-if)#ip address 192.168.1.254 255.255.255.0 //設置網關ip

Asa2(config)# int g1 //進入端口g1
Asa2(config-if)# no shutdown //開啓端口
Asa2(config-if)#nameif outside //設置區域名稱outside
Asa2(config-if)#security-level 0 //設置區域安全級別0
Asa2(config-if)#ip address 200.0.0.2 255.255.255.0 //設置網關ip

設置靜態路由
asa2(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1 //設置靜態路由，使用默認路由嚇一跳爲200.0.0.1

配置ISAKMP策略
asa2(config)# crypto ikev1 enable outside  //開啓加密協議isakmp，名稱ikev1，方向outside區域（名稱與防火牆一要一致）
asa2(config)# crypto ikev1 policy 1 //設置加密協議isakmp策略爲1（策略號也要一致）
asa2(config-ikev1-policy)# encryption aes //使用aes加密
asa2(config-ikev1-policy)# hash sha //設置哈希算法爲sha
asa2(config-ikev1-policy)# authentication pre-share  //採用預共享密鑰方式
asa2(config-ikev1-policy)# group 2 //指定DH算法的密鑰長度爲組2
asa2(config-ikev1-policy)# exit //退出

設置加密協議 isakmp 
asa2(config)# tunnel-group 200.0.0.1 type ipsec-l2l  //設置隧道目標地址爲200.0.0.1，類型爲點對點方式
asa2(config)# tunnel-group 200.0.0.1 ipsec-attributes //設置隧道的加密策略
asa2(config-tunnel-ipsec)# ikev1 pre-shared-key tedu //設置加密策略的密鑰爲tedu（雙向密鑰應惟一）
asa2(config-tunnel-ipsec)# exit //退出

設置acl
asa2(config)#access-list 100 extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0  //設置acl容許192.168.1.0網段訪問10.1.1.0網段

配置IPSec策略（轉換集）
asa2(config)# crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac  //配置IPSec策略（轉換集）

配置加密映射集 
asa2(config)# crypto map yf-map 1 match address 100 //設置加密圖 yf-map匹配acl 100
asa2(config)# crypto map yf-map 1 set peer 200.0.0.1  //創建加密圖鄰居爲200.0.0.1
asa2(config)# crypto map yf-map 1 set ikev1 transform-set yf-set  //設置加密圖IPSec策略轉換集

asa2(config)# crypto map yf-map interface outside //將映射集應用在接口

---

測試：Client1訪問Server1的web

在Server1上設置web

Client1訪問Server1的web

---

測試：查看管理鏈接sa的狀態

asa2(config)# show crypto isakmp sa //查看管理鏈接sa的狀態

Asa1(config)# show crypto isakmp sa //查看管理鏈接sa的狀態

清除sa記錄

asa1(config)# clear crypto isakmp sa //清除sa記錄
asa2(config)# clear crypto isakmp sa //清除sa記錄

---

測試：設置pat，讓pc機訪問外網200.0.0.2（對物理接口進行抓包）

asa1(config)# object network ob-inside2  ////設置對象網絡名稱爲ob-inside2
asa1(config-network-object)# subnet 10.2.2.0 255.255.255.0 //設置要轉換的內網ip段
asa1(config-network-object)# nat (inside2,outside) dynamic interface //設置動態pat，讓內網（inside2）ip動態的轉換爲出口端ip
asa1(config-network-object)# exit  //退出

在物理機上設置ip

使用抓包工具wireshark抓包
點擊在點擊進入
抓包結果

查看轉換條目
asa1(config)# show xlate //查看轉換條目

---

6、拓撲圖解釋

有些人看不懂華爲的雲是作什麼用的，我就再此解釋一下，首先我使用的防火牆是在vmware虛擬機上啓用的，所以我須要使用物理端口映射到雲上，讓華爲的其餘設備能夠進行訪問。
若是還有什麼不懂或者疑問能夠直接留言詢問我！