思科防火墙建立IPSEC VPN以及NAT穿越问题（大学生易读版）

一.拓扑

二.思路介绍

????????? ????? 具体思路如上，在可视化界面上也要按照如此顺序依次配置

三.具体在web界面上实现

??????? 1.阶段一配置

??????? 2.预共享密钥

??????? 3.注意，由于阶段二可以在crypto map里直接配置，所以说直接暂时跳过阶段二配置

??????? 4.cryto map里配置阶段二并调用

??????? 5.crypto map匹配目的端口以及匹配acl

??????? 6.接口调用

四.IPSEC VPN注意事项

??????? 1.对ASAV配置初期操作，重新刷新下设备。

ciscoasa(config)# configure factory-default

??????? 2.如何打开会话表象。为避免来回搭建两个安全策略实现包和回报的穿越流量发送。打开会话表象后会自动记录发出包的并生成回包的安全策略。

 policy-map global
class inspection_default
inspect icmp 

??????? 3.思科是默认开启vpn流量通过的，但这也违背了安全的初衷，关闭方法：

No sysopt connection permit-vpn

????????关闭之后在防火墙上面配置对应的安全策略可以实现

??????? 4.防火墙和对端站点之间ipsec协商流量不用安全策略设置，应为思科默认允许中介流量和防火墙发起流量

五.NAT-T问题

? 拓扑情况

??? 目前要在实现vpn的基础上，pc要去R1（ISP）处上网 ??

?? 出现问题

????? 要上网就要用到NAT来解决，但配置nat之后，相比于VPN匹配并进行，nat会优先处理，但nat转换地址之后会出现vpn无法匹配来进行隧道封装的问题。

?? 解决办法

???? 配置两个nat，一个进行公网转化并完成上网的目的，另外一个了则在公网转化nat之前匹配到进行VPN处理的流量并保持不变，这样既能保持初始流量，又可以跳过公网转化的nat。

六.具体配置

???? 1.先创建一个普通的nat

????????2.具体配置（从而实现上网）

??????? 3.配置一个在公网nat之前的进行的nat

??????? 4.配置（啥也不变，只是匹配一下）

??????? 5。打成目的

七.尾言

???本人网络小白一枚，如有知识点或则逻辑不清楚的，望大佬指出，如果大伙有其他问题，留在评论区，我会尽快为大伙解决。