实验目的:
client1(子公司)可以访问服务器server1(总公司),子公司的其他客户机pc4,pc2可以照常上网
实验步骤及思路:
1.配置pc机以及服务器ip
Client1
ip: 10.1.1.1
子网掩码:255.255.255.0
网 关:10.1.1.254
pc4
ip: 10.2.2.1
子网掩码:255.255.255.0
网 关:10.2.2.254
pc2
ip: 10.2.2.10
子网掩码:255.255.255.0
网 关:10.2.2.254
Server1
ip: 192.168.1.1
子网掩码:255.255.255.0
网 关:192.168.1.254
2.配置云 Cloud1
Cloud2
Cloud3
Cloud6
3.配置防火墙
ASA1:
interface g0 进入端口
nameif inside1 起名字
ip address 10.1.1.254 配置防火墙网关
security-level 100 配置内网安全级别(内网安全级别大于外网)
no shutdown 激活端口
interface g1 进入端口
nameif outside 起名字
ip address 200.0.0.1. 配置防火墙网关
security-level 50 配置外网安全级别(内网安全级别大于外网)
no shutdown 激活端口
interface g2 进入端口
nameif inside 2 起名字
ip address 10.2.2.254 配置防火墙网关
security-level 100 配置内网安全级别(内网安全级别大于外网)
no shutdown 激活端口
配置默认路由交给下一跳:
ip route 0.0.0.0 0.0.0.0 200.0.0.2
ASA2:
interface g0 进入端口
nameif inside 起名字
ip address 192.168.1..254 配置防火墙网关
security-level 100 配置内网安全级别(内网安全级别大于外网)
no shutdown 激活端口
interface g1 进入端口
nameif outside 起名字
ip address 200.0.0.1 配置防火墙出口网段
security-level 50 配置外网安全级别(内网安全级别大于外网)
no shutdown 激活端口
配置默认路由交给下一跳:
ip route 0.0.0.0 0.0.0.0 200.0.0.1
4.配置×××
ASA1( 分公司)
配置 ISAKMP 策略
ASA1(config)#crypto ikev1 enable outside
ASA1(config)#crypto ikev1 policy 1
ASA1(config-ikev1-policy)#encryption aes
ASA1(config-ikev1-policy)#hash sha
ASA1(config-ikev1-policy)#authentication pre-share
ASA1(config-ikev1-policy)#group 2
ASA1 (config)# tunnel-group 200.0.0.2 type ipsec-l2l
ASA1 (config)# tunnel-group 200.0.0.2 ipsec-attributes
ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
配置 ACL
ASA1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0
配置 IPSec 策略(转换集)
ASA1(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac
配置加密映射集
ASA1(config)#crypto map yf-map 1 match address 100
ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2
ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set
将映射集应用在接口
ASA1(config)#crypto map yf-map interface outside
ASA2(总公司)
配置 ISAKMP 策略
ASA2(config)#crypto ikev1 enable outside
ASA2(config)#crypto ikev1 policy 1
ASA2(config-ikev1-policy)#encryption aes
ASA2(config-ikev1-policy)#hash sha
ASA2(config-ikev1-policy)#authentication pre-share
ASA2(config-ikev1-policy)#group 2
ASA2 (config)# tunnel-group 200.0.0.1 type ipsec-l2l
ASA2 (config)# tunnel-group 200.0.0.1 ipsec-attributes
ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
配置 ACL
ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0
配置 IPSec 策略(转换集)
ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac
配置加密映射集
ASA2(config)#crypto map yf-map 1 match address 100
ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1
ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set
将映射集应用在接口
ASA2(config)#crypto map yf-map interface outside
5.验证,测试
show crypto isakmp sa 查看管理连接 SA 的状态
clear crypto isakmp sa 清除
验证:Client1 访问 Server1 的 Web
6..AT 方面的配置
ASA1(config)# object network ob-inside2(名字)
ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0 外网地址
ASA1(config-network-object)# nat (inside2,outside) dynamic interface 转换的端口
ASA1(config)# access-list icmp permit icmp any any 允许ping包
ASA1(config)# access-group icmp in int outside 在端口调用
7.测试,验证
PC4上网测试:ping 200.0.0.2
物理机上抓包: