思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)
2023-12-28 12:42:29
一.拓扑
二.思路介绍
????????? ????? 具体思路如上,在可视化界面上也要按照如此顺序依次配置
三.具体在web界面上实现
??????? 1.阶段一配置
??????? 2.预共享密钥
??????? 3.注意,由于阶段二可以在crypto map里直接配置,所以说直接暂时跳过阶段二配置
??????? 4.cryto map里配置阶段二并调用
??????? 5.crypto map匹配目的端口以及匹配acl
??????? 6.接口调用
四.IPSEC VPN注意事项
??????? 1.对ASAV配置初期操作,重新刷新下设备。
ciscoasa(config)# configure factory-default
??????? 2.如何打开会话表象。为避免来回搭建两个安全策略实现包和回报的穿越流量发送。打开会话表象后会自动记录发出包的并生成回包的安全策略。
policy-map global
class inspection_default
inspect icmp
??????? 3.思科是默认开启vpn流量通过的,但这也违背了安全的初衷,关闭方法:
No sysopt connection permit-vpn
????????关闭之后在防火墙上面配置对应的安全策略可以实现
??????? 4.防火墙和对端站点之间ipsec协商流量不用安全策略设置,应为思科默认允许中介流量和防火墙发起流量
五.NAT-T问题
? 拓扑情况
??? 目前要在实现vpn的基础上,pc要去R1(ISP)处上网 ??
?? 出现问题
????? 要上网就要用到NAT来解决,但配置nat之后,相比于VPN匹配并进行,nat会优先处理,但nat转换地址之后会出现vpn无法匹配来进行隧道封装的问题。
?? 解决办法
???? 配置两个nat,一个进行公网转化并完成上网的目的,另外一个了则在公网转化nat之前匹配到进行VPN处理的流量并保持不变,这样既能保持初始流量,又可以跳过公网转化的nat。
六.具体配置
???? 1.先创建一个普通的nat
????????2.具体配置(从而实现上网)
??????? 3.配置一个在公网nat之前的进行的nat
??????? 4.配置(啥也不变,只是匹配一下)
??????? 5。打成目的
七.尾言
???本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。
文章来源:https://blog.csdn.net/qq_74338624/article/details/135230894
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!