IPSec *** 基于防火墙Firewalls ASA 的配置实现

某软件开发公司在中小城市建立了分公司，分公司开发项目小组所在网络地址为 10.1.1.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器（192.168.1.0/24）。 分公司的其他客户端（10.2.2.0/24 网段）可以访问 Internet。

实验用虚拟环境

aca1网卡

aca2网卡

端口管道设置

vmnet1

vmnet2

vmnet3

vmnet8

实验环境搭建完成

根据上述需求，网络管理员需要在分公司的 ASA1 上同时配置 ××× 和 PAT。

ASA配置命令

配置接口的名称

interface g0

nameif intside

配置接口的安全级别

security-level 100 （0-100）

interface g1

nameif outside

security-level 0

asa842 ASA配置

asa843 ASA 配置

1．分公司的 ASA1 路由方面的配置

ASA2(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2

配置 ISAKMP 策略

ASA2(config)#crypto ikev1 enable outside

ASA2(config)#crypto ikev1 policy 1

ASA2(config-ikev1-policy)#encryption aes

ASA2(config-ikev1-policy)#hash sha

ASA2(config-ikev1-policy)#authentication pre-share

ASA2(config-ikev1-policy)#group 2

R1(config)#crypto isakmp key tedu address 200.0.0.1 //之前在路由器上的这条命令在防 火墙上变成以下配置：

ASA2 (config)# tunnel-group 200.0.0.2 type ipsec-l2l

ASA2 (config)# tunnel-group 200.0.0.2 ipsec-attributes

ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置 ACL

ASA2(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0

配置 IPSec 策略（转换集）

ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集

ASA2(config)#crypto map yf-map 1 match address 100 ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2 ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口

ASA2(config)#crypto map yf-map interface outside

2．总公司的 ASA2 路由方面的配置

ASA3(config) # route outside 0.0.0.0 0.0.0.0 200.0.0.1

配置 ISAKMP 策略

ASA3(config)#crypto ikev1 enable outside ASA2(config)#crypto ikev1 policy 1

ASA3(config-ikev1-policy)#encryption aes ASA2(config-ikev1-policy)#hash sha

ASA3(config-ikev1-policy)#authentication pre-share

ASA3(config-ikev1-policy)#group 2

ASA3 (config)# tunnel-group 200.0.0.1 type ipsec-l2l

ASA3(config)# tunnel-group 200.0.0.1 ipsec-attributes

ASA3 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置 ACL

ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0

配置 IPSec 策略（转换集）

ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集

ASA2(config)#crypto map yf-map 1 match address 100 ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1 ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set 将映射集应用在接口

ASA2(config)#crypto map yf-map interface outside

测试： Client1 访问 Server1 的 Web

查看管理连接 SA 的状态

PAT 的配置

ASA2(config)# object network ob-inside2

ASA2(config-network-object)# subnet 10.2.2.0 255.255.255.0

ASA(config-network-object)# nat (inside2,outside) dynamic interface

asa842(config)# access-list icmp permit icmp any any

asa842(config)# access-group icmp in int outside

PC1 上网测试：ping 200.0.0.3

物理机抓包

物理机上虚拟网卡IP修改，然后在PC1上ping200.0.0.3，并且物理机抓包