亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　R1模擬上海總公司的內(nèi)網(wǎng)，R3模擬南京分公司的內(nèi)網(wǎng)；ASA1是上?？偣境隹诜阑饓Γ珹SA2是南京分公司的出口防火墻；R2模擬internet。

　　需求：

　　實現(xiàn)總公司和分公司的內(nèi)部資源共享，并且保證數(shù)據(jù)傳輸時是安全的，內(nèi)網(wǎng)能正常上internet。

　　分析發(fā)現(xiàn)：

　　1.實現(xiàn)兩公司內(nèi)部資源共享，就要使用VPN ，保證數(shù)據(jù)安全得使用IPSec技術(shù)實現(xiàn)vpn。

　　2.實現(xiàn)內(nèi)網(wǎng)能正常上網(wǎng)，就要使用NAT技術(shù)（地址轉(zhuǎn)換），但地址轉(zhuǎn)換導(dǎo)致IPSec vpn不能正常工作，這時就要配置NAT豁免，使兩公司內(nèi)網(wǎng)之間的流量不做NAT轉(zhuǎn)換。

　　基本配置：

　　R1(config)#interfa 0/0

　　R1(config-if)#ipadd 192.168.10.1 255.255.255.0

　　R1(config-if)#noshutdown

　　R1(config)#iproute 0.0.0.0 0.0.0.0 192.168.10.2

　　ASA1(config)#inter e0/0

　　ASA1(config-if)#nameif inside

　　ASA1(config-if)#ip add 192.168.10.2 255.255.255.0

　　ASA1(config-if)#no shutdown

　　ASA1(config-if)#inter e0/1

　　ASA1(config-if)#nameif outside

　　ASA1(config-if)#ip add 12.0.0.1 255.255.255.252

　　ASA1(config-if)#no shutdown

　　ASA1(config)#route outside 0.0.0.0 0.0.0.0 12.0.0.2

　　R2(config)#interfa 0/1

　　R2(config-if)#ipadd 12.0.0.2 255.255.255.252

　　R2(config-if)#noshutdown

　　R2(config-if)#interffa 0/0

　　R2(config-if)#ipadd 22.0.0.1 255.255.255.252

　　R2(config-if)#noshutdown

　　ASA2(config)#intere0/0

　　ASA2(config-if)#nameif outside

　　ASA2(config-if)#ip add 22.0.0.2 255.255.255.252

　　ASA2(config-if)#no shutdown

　　ASA2(config-if)#inter e 0/1

　　ASA2(config-if)#nameif inside

　　ASA2(config-if)#ip add 192.168.30.1 255.255.255.0

　　ASA2(config-if)#no shutdown

　　ASA2(config)#route outside 0.0.0.0 0.0.0.0 22.0.0.1

　　R3(config)#interfa 0/1

　　R3(config-if)#ipadd 192.168.30.2 255.255.255.0

　　R3(config-if)#noshutdown

　　R3(config)#iproute 0.0.0.0 0.0.0.0 192.168.30.1

　　配置IPSecVPN：

　　(配置站點到站點的vpn ，首先得保證L2L之間能正常通信，并且公網(wǎng)IP地址是固定的。)

　　ASA1(config)#crypto isakmp enable outside//在ASA外網(wǎng)口啟用ISAKMP.

　　IKE階段1：

　　ASA1(config)#crypto isakmp policy1//創(chuàng)建isakmp策略并指定策略編號

　　ASA1(config-isakmp-policy)#encryption aes//指定對稱加密算法

　　ASA1(config-isakmp-policy)#hash sha//指定HMAC驗證使用的算法

　　ASA1(config-isakmp-policy)#authentication pre-share//指定驗證的方式

　　ASA1(config-isakmp-policy)#group 2//指定DH 密鑰組

　　ASA1(config-isakmp-policy)#lifetime 120//配置管理連接的生存周期

　　ASA1(config)#crypto isakmp key 1234 address 22.0.0.2//為對端創(chuàng)建預(yù)共享密鑰

　　IKE階段2配置：

　　ASA1(config)#access-list110 permit ip 192.168.10.0255.255.255.0 192.168.30 255.255.255.0

　　//配置crypto ACL ，定義保護的流量

　　ASA1(config)#crypto ipsec transform-set benet1 esp-aes esp-md5-hmac //配置傳輸集

　　ASA1(config)#crypto map benet 1 match address 110//調(diào)用crypto acl

　　ASA1(config)#crypto map benet 1 setpeer 22.0.0.2//指定IPSec對等體

　　ASA1(config)#crypto map benet 1 settransform-setbenet1//指定傳輸集

　　將cryptomap 應(yīng)用到接口上：

　　ASA1(config)#crypto map benet interface outside

　　ASA2的配置：

　　ASA2(config)#crypto isakmp enable outside//在ASA外網(wǎng)口啟用ISAKMP.

　　ASA2(config)#crypto isakmp policy 1

　　ASA2(config-isakmp-policy)#encryption aes

　　ASA2(config-isakmp-policy)#authentication pre-share

　　ASA2(config-isakmp-policy)#group 2

　　ASA2(config-isakmp-policy)#lifetime 120

　　ASA2(config)#crypto isakmp key 1234 address 12.0.0.1

　　ASA2(config)#access-list 110 permit ip 192.168.30.0 255.255.255.0 192.168.10.0 255.255.255.0

　　ASA2(config)#crypto ipsec transform-set benet1 esp-aes esp-md5-hmac

　　ASA2(config)#crypto map benet 1 match address 110

　　ASA2(config)#crypto map benet 1 set peer 12.0.0.1

　　ASA2(config)#crypto map benet 1 set transform-set benet1

　　將cryptomap 應(yīng)用到接口上：

　　ASA2(config)#crypto map benet interface outside

　　小結(jié)：完成上述配置，IPSec VPN就做通了。用ping命令可以測試是否成功。

　　配置地址轉(zhuǎn)換

　　ASA1(config)# nat(inside)10192.168.10.0 255.255.255.0

　　ASA1(config)#global (outside) 10 interface

　　ASA2(config)# nat(inside) 10 192.168.30.0 255.255.255.0

　　ASA2(config)#global (outside) 10 interface

　　小結(jié)：添加這些命令，內(nèi)網(wǎng)就可以上網(wǎng)了(用telnet測試，在R2上配置遠程管理)，但IPSec VPN 就不能工作了，因為ip地址在ASA上被轉(zhuǎn)換了，導(dǎo)致VPN驗證失敗。所以要配置NAT豁免，使兩個內(nèi)網(wǎng)的流量不被NAT.

　　配置NAT豁免：

　　ASA1(config)#access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.30.0255.255.255.0

　　ASA1(config)# nat(inside) 0 access-list nonat

　　ASA2(config)#access-list nonat extended permit ip 192.168.30.0 255.255.255.0 192.168.10.0255.255.255.0

　　ASA2(config)# nat(inside) 0 access-list nonat

　　配置完上面這些所有需求都可以滿足了。