拓扑图:

ASA和ASA防火墙配置IPSec VPN和故障排查_访问控制列表

推荐步骤:

  • 防火墙路由器PC机配置IP地址
  • ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通
  • 在ASA1和ASA2上开启NAT控制强流量被NAT转换并配置NAT,实现PC1访问ISP路由器的Lo0接口流量被NAT转发
  • 在ASA1和ASA2防火墙配置IPSec VPN实现PC1访问PC2流量被IPSec VPN保护

实验步骤:

一、防火墙、路由器、PC机配置IP地址

1、ASA1防火墙配置IP地址

1)防火墙接ASA1口配置IP地址

ASA1(config)# interface ethernet 0/0

ASA1(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA1(config-if)# ip address 192.168.100.2 255.255.255.0

ASA1(config-if)# no shutdown

ASA1(config-if)# exit

ASA1(config)# interface ethernet 0/1

ASA1(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA1(config-if)# ip address 192.168.10.1 255.255.255.0

ASA1(config-if)# no shutdown

2)查看ASA接口配置的IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_访问控制列表_02

2、ASA2防火墙配置IP地址

1)防火墙接ASA1口配置IP地址

ASA2(config)# interface ethernet 0/0

ASA2(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA2(config-if)# ip address 192.168.200.2 255.255.255.0

ASA2(config-if)# no shutdown

ASA2(config-if)# exit

ASA2(config)# interface ethernet 0/1

ASA(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA1(config-if)# ip address 192.168.20.1 255.255.255.0

ASA1(config-if)# no shutdown

2)查看ASA2接口配置的IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_03

3、ISP路由器配置IP地址

1)给ISP路由器接口配置IP地址

ISP(config)#interface fastEthernet 0/0

ISP(config-if)#ip address 192.168.100.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0

ISP(config-if)#ip address 192.168.200.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface loopback 0

ISP(config-if)#ip address 192.168.30.1 255.255.255.0

ISP(config-if)#end

2)查看ISP路由器接口配置IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_04

4、PC1计算机配置IP地址

1)给PC1接口配置IP地址

PC1(config)#no ip routing

PC1(config)#interface fastEthernet 0/0

PC1(config-if)#ip address 192.168.10.2 255.255.255.0

PC1(config-if)#no shutdown

PC1(config-if)#exit

PC1(config)#ip default-gateway 192.168.10.1

PC1(config)#end

2)查看PC1配置的IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_05

5、PC2计算机配置IP地址

1)给PC2接口配置IP地址

PC2(config)#no ip routing

PC2(config)#interface fastEthernet 0/0

PC2(config-if)#ip address 192.168.20.2 255.255.255.0

PC2(config-if)#no shutdown

PC2(config-if)#exit

PC2(config)#ip default-gateway 192.168.20.1

PC2(config)#end

2)查看PC1配置的IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_06

二、ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通

1、ASA1防火墙配置默认路由

1)在ASA1上配置默认路由

ASA1(config)# route outside 0 0 192.168.100.1

ASA1(config)# end

2)查看默认路由

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_07

2、ASA2防火墙配置默认路由

1)在ASA1上配置默认路由

ASA2(config)# route outside 0 0 192.168.200.1

ASA2(config)# end

2)查看默认路由

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_08

3、ISP路由器配置静态路由

1)在ISP路由器配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2

ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2

ISP(config)#end

2)查看路由表

ASA和ASA防火墙配置IPSec VPN和故障排查_访问控制列表_09

4、ASA防火墙将ICMP协议添加状态列表验证全网互通

1)ASA1将ICMP协议添加状态化列表

ASA1(config)# fixup protocol icmp

INFO: converting 'fixup protocol icmp ' to MPF commands

2)验证全网互通

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_10

3)ASA2将ICMP协议添加状态化列表

ASA2(config)# fixup protocol icmp

INFO: converting 'fixup protocol icmp ' to MPF commands

4)验证全网互通

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_11ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_12

 

三、在ASA1和ASA2上开启NAT控制强流量被NAT转换并配置NAT,实现PC1访问ISP路由器的Lo0接口流量被NAT转发

1、ASA1配置NAT

1)开启NAT控制强制流量走NAT

ASA1(config)# nat-control

2)配置访问控制识别NAT的流量

ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0

3)将识别的流量映射到outside接口

ASA1(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

4)访问ISP的Lo0接口

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_13

5)查看地址转换列表

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_14

2、ASA1配置豁免

1)创建访问控制列表豁免的流量

ASA1(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

2)应用豁免

ASA1(config)# nat (inside) 0 access-list nonat

3)PC1访问PC2测试网络连通性查询路由表

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_15

3、ASA2配置NAT

1)开启NAT控制强制流量走NAT

ASA2(config)# nat-control

2)配置访问控制识别NAT的流量

ASA2(config)# nat (inside) 1 192.168.20.0 255.255.255.0

3)将识别的流量映射到outside接口

ASA2(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

4)访问ISP的Lo0接口

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_16

5)查看地址转换列表

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_17

4、ASA2配置豁免

1)创建访问控制列表豁免的流量

ASA2(config)# access-list nonat permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0

2)应用豁免

ASA2(config)# nat (inside) 0 access-list nonat

3)PC1访问PC2测试网络连通性查询路由表

ASA和ASA防火墙配置IPSec VPN和故障排查_访问控制列表_18

四、在ASA1和ASA2防火墙配置IPSec VPN实现PC1访问PC2流量被IPSec VPN保护

1、配置ASA1防火墙配置IPSec VPN

1)创建安全策略

ASA1(config)# crypto isakmp policy 1

ASA1(config-isakmp-policy)#  authentication pre-share

ASA1(config-isakmp-policy)#  encryption aes

ASA1(config-isakmp-policy)#  hash md5

ASA1(config-isakmp-policy)#  group 2

ASA1(config-isakmp-policy)#  lifetime 86400

ASA1(config-isakmp-policy)# exit

2)创建访问控制列表识别经过ipsec VPN转发的流量

ASA1(config)# access-list ipsecvpn permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

3)开启Outside接口允许IKE协商建立IPSec VPN连接

ASA1(config)# crypto isakmp enable outside

4)​配置共享密钥pwd@123和允许和对端IP地址192.168.200.2​建立IPSec VPN

ASA1(config)# crypto isakmp key pwd@123 address 192.168.200.2

5)创建传输集名字bj-set,加密使用aes验证使用md5

ASA1(config)# crypto ipsec transform-set bj-set esp-aes esp-md5-hmac

6)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集

ASA1(config)# crypto map bj-vpn 1 match address ipsecvpn

ASA1(config)# crypto map bj-vpn 1 set peer 192.168.200.2

ASA1(config)# crypto map bj-vpn 1 set transform-set bj-set

7)将crypto map应用到Outside接口

ASA1(config)# crypto map bj-vpn interface outside

8)配置访问控制列表允许低安全级别访问高

ASA1(config)# access-list out_to_in permit ip any any

ASA1(config)# access-group out_to_in in interface outside

9)配置相同安全级别允许通信

ASA1(config)# same-security-traffic permit inter-interface

2、配置ASA2防火墙配置IPSec VPN

1)创建安全策略

ASA2(config)# crypto isakmp policy 1

ASA2(config-isakmp-policy)#  authentication pre-share

ASA2(config-isakmp-policy)#  encryption aes

ASA2(config-isakmp-policy)#  hash md5

ASA2(config-isakmp-policy)#  group 2

ASA2(config-isakmp-policy)#  lifetime 86400

ASA2(config-isakmp-policy)# exit

2)创建访问控制列表识别经过ipsec VPN转发的流量

ASA2(config)# access-list ipsecvpn permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0

3)开启Outside接口允许IKE协商建立IPSec VPN连接

ASA2(config)# crypto isakmp enable outside

4)​配置共享密钥pwd@123和允许和对端IP地址192.168.100.2​建立IPSec VPN

ASA2(config)# crypto isakmp key pwd@123 address 192.168.100.2

5)创建传输集名字sh-set,加密使用aes验证使用md5

ASA2(config)# crypto ipsec transform-set sh-set esp-aes esp-md5-hmac

6)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集

ASA2(config)# crypto map sh-vpn 1 match address ipsecvpn

ASA2(config)# crypto map sh-vpn 1 set peer 192.168.100.2

ASA2(config)# crypto map sh-vpn 1 set transform-set sh-set

7)将crypto map应用到Outside接口

ASA2(config)# crypto map sh-vpn interface outside

8)配置访问控制列表允许低安全级别访问高

ASA2(config)# access-list out_to_in permit ip any any

ASA2(config)# access-group out_to_in in interface outside

9)配置相同安全级别允许通信

ASA2(config)# same-security-traffic permit inter-interface

3、验证ASA1的IPSec VPN和NAT豁免

1)PC1访问PC2

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_19

2)查看ASA1防火墙IPSec VPN连接状态

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_20

3)查看ASA1防火墙IPSec VPN数据转发情况

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_21

4)PC1访问ISP的Lo0接口IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_22

5)查看ASA1的NAT转换列表

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_23

4、验证ASA2的IPSec VPN

1)PC2访问PC1

ASA和ASA防火墙配置IPSec VPN和故障排查_IPSec 防火墙_24

2)查看ASA2防火墙IPSec VPN连接状态

ASA和ASA防火墙配置IPSec VPN和故障排查_ide_25

3)查看ASA2防火墙IPSec VPN数据转发情况

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_26

4)PC2访问ISP的Lo0接口IP地址

ASA和ASA防火墙配置IPSec VPN和故障排查_访问控制列表_27

5)查看ASA2的NAT转换列表

ASA和ASA防火墙配置IPSec VPN和故障排查_ip地址_28