接着上篇路由器的Ez***,下面實驗中模拟ASA防火牆的遠端***。遠端移動使用者通過cisco *** client連上總部内網進行資源通路。如下拓撲圖:
實驗配置: R1>en
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火牆==================================== lwmfw# conf t lwmfw(config)# lwmfw(config)# int e0/0 lwmfw(config-if)# no sh lwmfw(config-if)# security-level 100 lwmfw(config-if)# nameif inside lwmfw(config-if)# ip add 192.168.1.2 255.255.255.0 lwmfw(config-if)# int e0/1 lwmfw(config-if)# no sh lwmfw(config-if)# security-level 0 lwmfw(config-if)# nameif outside lwmfw(config-if)# ip add 118.97.225.242 255.255.255.252 lwmfw(config-if)# end
lwmfw(config)# host lwmfw lwmfw(config)# access-list 101 permit icmp any any lwmfw(config)# access-list 101 permit ip any any lwmfw(config)# access-group 101 in interface outside lwmfw(config)# route outside 0.0.0.0 0.0.0.0 118.97.225.241 lwmfw(config)# route inside 172.16.16.0 255.255.255.0 192.168.1.1 lwmfw(config)# crypto isakmp policy 10 lwmfw(config-isakmp-policy)# authentication pre lwmfw(config-isakmp-policy)# en 3des lwmfw(config-isakmp-policy)# hash sha lwmfw(config-isakmp-policy)# group 2 lwmfw(config-isakmp-policy)# exit lwmfw(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac lwmfw(config)# crypto dynamic-map liwenming 10 set transform-set myset lwmfw(config)# crypto map liwenming1 20 ipsec-isakmp dynamic liwenming lwmfw(config)# crypto isakmp enable outside lwmfw(config)# crypto map liwenming1 interface outside lwmfw(config)# ip local pool remote*** 192.168.100.100-192.168.100.200
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分離 配置使用者組政策 lwmfw(config)# group-policy limingya internal lwmfw(config)# group-policy limingya attributes lwmfw(config-group-policy)# address-pools value remote*** lwmfw(config-group-policy)# dns-server value 202.103.24.68 lwmfw(config-group-policy)# split-tunnel-policy tunnelspecified lwmfw(config-group-policy)# split-tunnel-network-list value split_tunnel_list
配置使用者隧道資訊 lwmfw(config-group-policy)# tunnel-group limingya1 type ipsec-ra lwmfw(config)# tunnel-group limingya1 general-attributes lwmfw(config-tunnel-general)# default-group-policy limingya1 lwmfw(config-tunnel-general)# exit lwmfw(config)# tunnel-group limingya1 ipsec-attributes lwmfw(config-tunnel-ipsec)# pre-shared-key limingya1 lwmfw(config-tunnel-ipsec)# exit 建立遠端使用者名和密碼 lwmfw(config)# username liwenming password liwenming lwmfw(config)# end lwmfw# NAT和通路控制 lwmfw(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool lwmfw(config)# access-list 102 extended permit ip host 172.16.16.2 any lwmfw(config)# nat (inside) 1 access-list 102 對清單102的主機NAT轉換
NAT繞過*** lwmfw(config)#access-list nonat extended permit ip 172.16.16.0 255.255.255.0 192.168.100.0 255.255.255.0 lwmfw(config)# nat (inside) 0 access-list nonat ======================================R2=========================================
R2#conf t
R2(config)#
R2(config)#int e1/1
R2(config-if)#ino sh R2(config-if)#ip add 202.1.1.1 255.255.255.0
R2(config-if)#int lo 0
R2(config-if)#no sh
R2(config-if)#ip add
R2(config-if)#ip add 2.2.2.2 255.255.255.0 -配置環回口測試外網
R2(config-if)#end
R2# 遠端用戶端連接配接調試:
用戶端成功連接配接到總部ASA防火牆。獲得ip為192.168.100.100。下面測試用戶端通路總部内部伺服器資源,由于時間原因,本文以mstsc遠端桌面連接配接到總部一台伺服器進行測試。如下圖:測試遠端用戶端與伺服器的連通性,由下圖中知,通信正常
現在測試遠端桌面連接配接:
遠端用戶端遠端桌面登入到了總部伺服器,正常通路 下面我們來測試遠端使用者連接配接到了總部網絡後,能否正常通路外網
說明:遠端使用者通路外網正常,這其中用到了Tunnel split隧道分離,Tunnel split 解決了遠端使用者既可以上網又可以通過×××通路公司内網伺服器通過定義一個ACL的方式來向遠端用戶端指明哪個内部網絡是需要加密通路的,其他的正常明文通信 沒有隧道分離是無法正常通路外網的
下面簡單調試下防火牆,檢視下NAT及IKE:
成功激活一個IKE SA ,IKE peer為202.1.1.2,主機172.16.16.2,NAT比對成功
轉載于:https://blog.51cto.com/loverain/827582