防火墙的***以及PAT应用

实验目的:

  client1(子公司)可以访问服务器server1(总公司),子公司的其他客户机pc4,pc2可以照常上网

实验步骤及思路:

 1.配置pc机以及服务器ip
           Client1
                    ip:             10.1.1.1
                    子网掩码:255.255.255.0
                     网      关:10.1.1.254

            pc4
                    ip:             10.2.2.1
                    子网掩码:255.255.255.0
                     网      关:10.2.2.254
             pc2
                    ip:             10.2.2.10
                    子网掩码:255.255.255.0
                     网      关:10.2.2.254
             Server1
                    ip:             192.168.1.1
                    子网掩码:255.255.255.0
                     网      关:192.168.1.254

2.配置云
Cloud1
防火墙的***以及PAT应用

        Cloud2

防火墙的***以及PAT应用

       Cloud3

防火墙的***以及PAT应用

      Cloud6

防火墙的***以及PAT应用

3.配置防火墙

   ASA1:
            interface g0                                           进入端口
                 nameif inside1                                  起名字
                 ip  address 10.1.1.254                      配置防火墙网关
                 security-level 100                              配置内网安全级别(内网安全级别大于外网)
                 no  shutdown                                      激活端口
             interface g1                                          进入端口
                 nameif outside                                  起名字
                 ip  address 200.0.0.1.                    配置防火墙网关
                 security-level 50                             配置外网安全级别(内网安全级别大于外网)
                 no  shutdown                                      激活端口
             interface g2                                          进入端口
                 nameif  inside 2                                 起名字
                 ip  address 10.2.2.254                     配置防火墙网关
                 security-level 100                              配置内网安全级别(内网安全级别大于外网)
                 no  shutdown                                      激活端口
    配置默认路由交给下一跳:
                 ip  route   0.0.0.0   0.0.0.0  200.0.0.2
    ASA2:
            interface g0                                           进入端口
                 nameif inside                                    起名字
                 ip  address 192.168.1..254                      配置防火墙网关
                 security-level 100                              配置内网安全级别(内网安全级别大于外网)
                 no  shutdown                                      激活端口
             interface g1                                          进入端口
                 nameif outside                                  起名字
                 ip  address 200.0.0.1                     配置防火墙出口网段
                 security-level 50                             配置外网安全级别(内网安全级别大于外网)
                 no  shutdown                                      激活端口
    配置默认路由交给下一跳:
                 ip  route   0.0.0.0   0.0.0.0  200.0.0.1
4.配置×××
        ASA1( 分公司)
            配置 ISAKMP 策略
                   ASA1(config)#crypto ikev1 enable outside
                   ASA1(config)#crypto ikev1 policy 1
                   ASA1(config-ikev1-policy)#encryption aes
                   ASA1(config-ikev1-policy)#hash sha
                   ASA1(config-ikev1-policy)#authentication pre-share
                   ASA1(config-ikev1-policy)#group 2
                   ASA1 (config)# tunnel-group 200.0.0.2 type ipsec-l2l
                   ASA1 (config)# tunnel-group 200.0.0.2 ipsec-attributes
                   ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
            配置 ACL
                   ASA1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0
            配置 IPSec 策略(转换集)
                   ASA1(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac
            配置加密映射集
                ASA1(config)#crypto map yf-map 1 match address 100
                   ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2
                   ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set
            将映射集应用在接口
                   ASA1(config)#crypto map yf-map interface outside
    ASA2(总公司)
              配置 ISAKMP 策略
                    ASA2(config)#crypto ikev1 enable outside
                    ASA2(config)#crypto ikev1 policy 1
                    ASA2(config-ikev1-policy)#encryption aes
                    ASA2(config-ikev1-policy)#hash sha
                    ASA2(config-ikev1-policy)#authentication pre-share
                    ASA2(config-ikev1-policy)#group 2
                    ASA2 (config)# tunnel-group 200.0.0.1 type ipsec-l2l
                    ASA2 (config)# tunnel-group 200.0.0.1 ipsec-attributes
                    ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
            配置 ACL
                    ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0
                    配置 IPSec 策略(转换集)
                    ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac
            配置加密映射集
                    ASA2(config)#crypto map yf-map 1 match address 100
                    ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1
                    ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set
             将映射集应用在接口
                    ASA2(config)#crypto map yf-map interface outside

5.验证,测试

            show  crypto  isakmp sa             查看管理连接 SA 的状态
              clear crypto isakmp sa                清除
    验证:Client1 访问 Server1 的 Web

防火墙的***以及PAT应用

6..AT 方面的配置
        ASA1(config)# object network ob-inside2(名字)    
        ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0                            外网地址
        ASA1(config-network-object)# nat (inside2,outside) dynamic interface            转换的端口      
        ASA1(config)# access-list icmp permit  icmp any any    允许ping包
        ASA1(config)# access-group  icmp in int outside      在端口调用
 7.测试,验证
       PC4上网测试:ping 200.0.0.2

防火墙的***以及PAT应用
物理机上抓包:
防火墙的***以及PAT应用