提前说一下,虽然用的是华为的模拟器,但确确实实是用的思科的防火墙

拓扑如下:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_02

实验目的:

10.1.1.0/24网段主机可以通过×××访问服务器192.168.1.0/24;10.2.2..0/24网段可以访问Internet

OK,首先配置云,这个有一些讲究这里不细说了,下篇博客好好说,先看配置:

VMnet1:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_防火墙_04

VMnet2:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_06

VMnet3:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _08

VMnet4:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_防火墙_10


实验步骤:

一、进入防火墙配置内外网

FW1:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_防火墙_12

FW2:

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _14


二、配置ASA1

1、路由方面配置

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _16

2、配置ISAKMP策略

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_防火墙_18

(由于图中都是一个部分的,我就不画框框了)

3、配置ACL(access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0)

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_20

4、配置IPSec策略(转换集)

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _22

5、配置加密映射集

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _24

6、将映射集应用在接口

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_26

FW2:(与FW1逻辑相同)

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_28

测试吧,大功告成啦,哦对了说一下这个l2l,这可不是一百二十一啊,这是lan-to-lan,因为在英文中“to”的发音和“2”的发音一样,所以便写成了“l2l”

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _30

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_32


接下来实现实验目的二:

只需要进行PAT配置即可

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_34


物理机配置:

修改VMnet1 IP为同一网段

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_36

测试下物理机

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_38

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_防火墙_40


怎么验证呢,把物理机上虚拟网卡IP修改,然后在PC1上ping200.0.0.2,并且物理机抓包

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_思科_42

思科防火墙的VPN和NAT配置_思科思科防火墙的VPN和NAT配置_VPN _44

如图所示,IP地址转换成功,实验目的达成