接着上篇路由器的Ez***,下面实验中模拟ASA防火墙的远程***。远程移动用户通过cisco *** client连上总部内网进行资源访问。如下拓扑图:
实验配置: R1>en
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火墙==================================== lwmfw# conf t lwmfw(config)# lwmfw(config)# int e0/0 lwmfw(config-if)# no sh lwmfw(config-if)# security-level 100 lwmfw(config-if)# nameif inside lwmfw(config-if)# ip add 192.168.1.2 255.255.255.0 lwmfw(config-if)# int e0/1 lwmfw(config-if)# no sh lwmfw(config-if)# security-level 0 lwmfw(config-if)# nameif outside lwmfw(config-if)# ip add 118.97.225.242 255.255.255.252 lwmfw(config-if)# end
lwmfw(config)# host lwmfw lwmfw(config)# access-list 101 permit icmp any any lwmfw(config)# access-list 101 permit ip any any lwmfw(config)# access-group 101 in interface outside lwmfw(config)# route outside 0.0.0.0 0.0.0.0 118.97.225.241 lwmfw(config)# route inside 172.16.16.0 255.255.255.0 192.168.1.1 lwmfw(config)# crypto isakmp policy 10 lwmfw(config-isakmp-policy)# authentication pre lwmfw(config-isakmp-policy)# en 3des lwmfw(config-isakmp-policy)# hash sha lwmfw(config-isakmp-policy)# group 2 lwmfw(config-isakmp-policy)# exit lwmfw(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac lwmfw(config)# crypto dynamic-map liwenming 10 set transform-set myset lwmfw(config)# crypto map liwenming1 20 ipsec-isakmp dynamic liwenming lwmfw(config)# crypto isakmp enable outside lwmfw(config)# crypto map liwenming1 interface outside lwmfw(config)# ip local pool remote*** 192.168.100.100-192.168.100.200
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分离 配置用户组策略 lwmfw(config)# group-policy limingya internal lwmfw(config)# group-policy limingya attributes lwmfw(config-group-policy)# address-pools value remote*** lwmfw(config-group-policy)# dns-server value 202.103.24.68 lwmfw(config-group-policy)# split-tunnel-policy tunnelspecified lwmfw(config-group-policy)# split-tunnel-network-list value split_tunnel_list
配置用户隧道信息 lwmfw(config-group-policy)# tunnel-group limingya1 type ipsec-ra lwmfw(config)# tunnel-group limingya1 general-attributes lwmfw(config-tunnel-general)# default-group-policy limingya1 lwmfw(config-tunnel-general)# exit lwmfw(config)# tunnel-group limingya1 ipsec-attributes lwmfw(config-tunnel-ipsec)# pre-shared-key limingya1 lwmfw(config-tunnel-ipsec)# exit 创建远程用户名和密码 lwmfw(config)# username liwenming password liwenming lwmfw(config)# end lwmfw# NAT和访问控制 lwmfw(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool lwmfw(config)# access-list 102 extended permit ip host 172.16.16.2 any lwmfw(config)# nat (inside) 1 access-list 102 对列表102的主机NAT转换
NAT绕过*** lwmfw(config)#access-list nonat extended permit ip 172.16.16.0 255.255.255.0 192.168.100.0 255.255.255.0 lwmfw(config)# nat (inside) 0 access-list nonat ======================================R2=========================================
R2#conf t
R2(config)#
R2(config)#int e1/1
R2(config-if)#ino sh R2(config-if)#ip add 202.1.1.1 255.255.255.0
R2(config-if)#int lo 0
R2(config-if)#no sh
R2(config-if)#ip add
R2(config-if)#ip add 2.2.2.2 255.255.255.0 -配置环回口测试外网
R2(config-if)#end
R2# 远程客户端连接调试:
客户端成功连接到总部ASA防火墙。获得ip为192.168.100.100。下面测试客户端访问总部内部服务器资源,由于时间原因,本文以mstsc远程桌面连接到总部一台服务器进行测试。如下图:测试远程客户端与服务器的连通性,由下图中知,通信正常
现在测试远程桌面连接:
远程客户端远程桌面登录到了总部服务器,正常访问 下面我们来测试远程用户连接到了总部网络后,能否正常访问外网
说明:远程用户访问外网正常,这其中用到了Tunnel split隧道分离,Tunnel split 解决了远程用户既可以上网又可以通过×××访问公司内网服务器通过定义一个ACL的方式来向远程客户端指明哪个内部网络是需要加密访问的,其他的正常明文通信 没有隧道分离是无法正常访问外网的
下面简单调试下防火墙,查看下NAT及IKE:
成功激活一个IKE SA ,IKE peer为202.1.1.2,主机172.16.16.2,NAT匹配成功
转载于:https://blog.51cto.com/loverain/827582