基於防火牆的Easy ***配置全過程

時間 2020-07-29

標籤基於防火牆 easy 配置全過程简体版

原文原文鏈接

實驗目的：經過在網關ASA防火牆設備上作Easy ×××，使得遠端互聯網上的一臺客戶機可以經過加密隧道來訪問局域網的內部資源。算法

實驗拓撲圖以下所示。R1是做爲局域網內部的一臺路由器，C1鏈接的是VMnet1網卡，使用的是windows7操做系統做爲網絡上的一臺PC機。下面是具體配置步驟。windows

R1上面的配置。只須要配置接口IP地址和一條默認路由便可。安全

R1(config)#int fa0/0


R1(config-if)#ip add 192.168.20.2 255.255.255.0
R1(config-if)#no shut
R1(config-if)#ex
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1

ISP上面的配置。只須要配置接口IP地址便可，以下。bash

ISP(config)#int fa0/0
ISP(config-if)#ip add 10.0.0.2 255.255.255.0
ISP(config-if)#no shut
ISP(config)#int fa0/1
ISP(config-if)#ip add 20.0.0.2 255.255.255.0
ISP(config-if)#no shut

R3上面的配置，做爲公網上一臺提供DHCP服務和NAT地址轉換的路由器，須要配置以下參數。網絡

R3(config)#int fa0/0
R3(config-if)#ip add 20.0.0.1 255.255.255.0
R3(config-if)#no shut  //配置接口IP地址並激活
R3(config)#int fa0/1
R3(config-if)#ip add 192.168.10.1 255.255.255.0
R3(config-if)#no shut  //配置接口IP地址並激活
R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2//末梢網絡配置默認路由
R3(config)#ip dhcp pool zhang  //配置DHCP的相關參數
R3(dhcp-config)#network 192.168.10.0 255.255.255.0//分配網段
R3(dhcp-config)#default-router 192.168.10.1 //DHCP默認網關
R3(dhcp-config)#dns 8.8.8.8 //DHCP配置的默認DNS地址
R3(dhcp-config)#lease 8 //DHCP服務的租約時間
R3(dhcp-config)#ex//下面是一條標準訪問控制列表須要應用在NAT
R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)#ip nat inside source list 1 interface fa0/0 overloacl//端口多路複用PAT，映射到公網上的出口IP地址。
R3(config)#int fa0/0
R3(config-if)#ip nat outside //應用接口爲NAT的出口方向
R3(config)#int fa0/1 
R3(config-if)#ip nat inside //應用接口爲NAT的入口方向

下面就是這次實驗的重頭戲，ASA防火牆上的配置。ide

ASA(config)# int e0/0
ASA(config-if)# ip add 192.168.20.1 255.255.255.0
ASA(config-if)# no shut   //配置端口IP地址並激活
ASA(config-if)# nameif inside  //爲內部inside區域
ASA(config)# int e0/1
ASA(config-if)# ip add 10.0.0.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif outside  //此接口爲外部outside區域
ASA(config)# route outside 0 0 10.0.0.2 //配置一條默認路由

以上配置完成能夠打開虛擬機，別忘了檢查鏈接網卡VMnet1，而後就能夠打開命令行工具，ping對等體接口IP地址是否可以互聯互通，這是下面實驗的前提。此處爲測試，若是不通能夠進行相應的檢查，否則等你所有作完以後才發現問題、故障，一時之間很難判斷問題出在哪裏。工具

下面就開始作×××加密隧道傳輸。測試

ASA(config)# crypto isakmp enable outside //開啓ISAKMP/IKE（安全鏈接和密鑰管理協議/互聯網金鑰交換）
ASA(config)# crypto isakmp policy 1 //設置管理連接isakmp協議
ASA(config-isakmp-policy)# encryption 3des //加密算法
ASA(config-isakmp-policy)# hash sha  //定義管理鏈接的驗證方式
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2 //指定DH密鑰組
ASA(config-isakmp-policy)# lifetime 120 //生存週期
ASA(config)# username zhangsan password 123123 //創建用來訪問內部局域網的用戶名以及密碼
ASA(config)# ip local pool benet-pool 192.168.20.50-192.168.20.80 //定義分配給客戶端的IP地址範圍
ASA(config)# access-list split-acl permit ip 192.168.20.0 255.255.255.0 any //定義用於觸發的感興趣流量
ASA(config)# group-policy test-group internal //表示策略定義在本地
ASA(config)# group-policy test-group attributes /定義組策略屬性
ASA(config-group-policy)# split-tunnel-policy tunnelspecified //定義爲全部匹配ACL的流量走隧道
ASA(config-group-policy)# split-tunnel-network-list value split-acl //調用ACL感興趣流量
ASA(config-group-policy)# dns-server value 9.9.9.9 //定義DNS地址
ASA(config-group-policy)# split-dns value benet.com//隧道分離DNS
ASA(config-group-policy)# exit     
ASA(config)# tunnel-group benet-group type ipsec-ra //定義隧道組，並指定類型爲遠程訪問
ASA(config)# tunnel-group benet-group general-attributes//指定屬性
ASA(config-tunnel-general)# address-pool benet-pool //調用地址池
ASA(config-tunnel-general)# default-group-policy test-group
ASA(config-tunnel-general)# exit //上面這條是調用組策略
ASA(config)# tunnel-group benet-group ipsec-attributes 
ASA(config-tunnel-ipsec)# pre-shared-key aaa123 //設置預共享密鑰
ASA(config-tunnel-ipsec)# exit
ASA(config)# crypto ipsec transform-set benet-set esp-3des esp-sha-hmac //定義傳輸集
ASA(config)# crypto dynamic-map dymap 1 set transform-set benet-set //定義動態MAP，調用傳輸集
ASA(config)# crypto map stamap 1 ipsec-isakmp dynamic dymap //定義靜態MAP，並調用上面的動態MAP
ASA(config)# crypto map stamap int outside //最後應用在outside區域，以上配置較多須要細心。

配置完成以後，一樣須要安裝×××客戶端軟件，而後輸入相應的參數，點擊保存，以下圖所示。加密

點擊剛纔保存的配置，而後點擊鏈接，以後跳出提示框，輸入上面定義的用戶名和密碼。以下圖spa

鏈接成功以後，打開CMD命令行工具，輸入ipconfig能夠看到從防火牆Easy ×××上獲取到的IP地址信息，此時能夠進行ping測試驗證，互聯網上的PC機和內部局域網之間是否已經互聯互通（只要能通，沒有獲取到網關地址也OK的）。