思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)

2023-12-28 12:42:29

一.拓扑

二.思路介绍

????????? ????? 具体思路如上,在可视化界面上也要按照如此顺序依次配置

三.具体在web界面上实现

??????? 1.阶段一配置

??????? 2.预共享密钥

??????? 3.注意,由于阶段二可以在crypto map里直接配置,所以说直接暂时跳过阶段二配置

??????? 4.cryto map里配置阶段二并调用

??????? 5.crypto map匹配目的端口以及匹配acl

??????? 6.接口调用

四.IPSEC VPN注意事项

??????? 1.对ASAV配置初期操作,重新刷新下设备。

ciscoasa(config)# configure factory-default

??????? 2.如何打开会话表象。为避免来回搭建两个安全策略实现包和回报的穿越流量发送。打开会话表象后会自动记录发出包的并生成回包的安全策略。

 policy-map global
class inspection_default
inspect icmp 

??????? 3.思科是默认开启vpn流量通过的,但这也违背了安全的初衷,关闭方法:

No sysopt connection permit-vpn

????????关闭之后在防火墙上面配置对应的安全策略可以实现

??????? 4.防火墙和对端站点之间ipsec协商流量不用安全策略设置,应为思科默认允许中介流量和防火墙发起流量

五.NAT-T问题

? 拓扑情况

??? 目前要在实现vpn的基础上,pc要去R1(ISP)处上网 ??

?? 出现问题

????? 要上网就要用到NAT来解决,但配置nat之后,相比于VPN匹配并进行,nat会优先处理,但nat转换地址之后会出现vpn无法匹配来进行隧道封装的问题。

?? 解决办法

???? 配置两个nat,一个进行公网转化并完成上网的目的,另外一个了则在公网转化nat之前匹配到进行VPN处理的流量并保持不变,这样既能保持初始流量,又可以跳过公网转化的nat。

六.具体配置

???? 1.先创建一个普通的nat

????????2.具体配置(从而实现上网)

??????? 3.配置一个在公网nat之前的进行的nat

??????? 4.配置(啥也不变,只是匹配一下)

??????? 5。打成目的

七.尾言

???本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

文章来源:https://blog.csdn.net/qq_74338624/article/details/135230894
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。