拓扑图:
推荐步骤:
防火墙、路由器、PC机配置IP地址
防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通
在ASA上开启NAT控制强流量被NAT转换并配置NAT,在路由器R1上配置NAT实现PC1访问Lo0接口流量被NAT转发,PC2访问ISP的Lo0接口流量被NAT转发
在ASA防火墙和R1路由器上配置IPSec VPN实现PC1访问PC2流量被NAT转换
实验步骤:
一、防火墙、路由器、PC机配置IP地址
1、防火墙配置IP地址
1)防火墙接口配置IP地址
ASA1(config)#interface ethernet 0/0 //进入防火墙ASA1的0/0接口 ASA1(config-if)#name outside //外网接口 ASA1(config-if)#ip address 192.168.100.2 255.255.255.0 //配置IP地址和子网掩码 ASA1(config-if)#no shutdown //激活接口 ASA1(config-if)#eixt //退出 ASA1(config)#interface ethernet 0/1 //进入ASA1的0/1接口 ASA1(config-if)#nameif inside //内网接口 ASA1(config-if)#ip address 192.168.10.1 255.255.255.0 //配置IP地址和子网掩码 ASA1(config-if)#no shutdown //激活接口 ASA1(config-if)#exit //退出
2)查看ASA接口配置的IP地址
ASA1#show interface ip brief //查看配置的IP地址
2、R1路由器配置IP地址
1)给R1路由器接口配置IP地址
R1(config)#interface fastEthernet 1/0 //进入路由器R1的1/0接口 R1(config-if)#ip address 192.168.200.2 255.255.255.0 //配置IP地址和子网掩码 R1(config-if)#no shutdown //激活接口 R1(config-if)#exit //退出 R1(config)#interface fastEthernet 0/0 //进入路由器R1的0/0接口 R1(config-if)#ip address 192.168.20.1 255.255.255.0 //配置IP地址和子网掩码 R1(config-if)#no shutdown //激活接口 R1(config-if)#exit //退出
2)查看R1路由器接口配置的IP地址
R1#show ip inte b //查看配置的IP地址
3、ISP路由器配置IP地址
1)给ISP路由器接口配置IP地址
ISP(config)#interface fastEtheernet 0/0 ISP(config-if)#ip address 192.168.100.1 255.255.255.0 ISP(config-if)#no shutdown ISP(config-if)#exit ISP(config)#interface loopback 0 ISP(config-if)#ip address 192.168.30.1 255.255.255.0 ISP(config-if)#exit
2)查看ISP路由器接口配置IP地址
ISP#show ip interface b
4、PC1计算机配置IP地址
1)给PC1接口配置IP地址
PC1(config)#no ip routing PC1(config)#interface fastEthernet 0/0 PC1(config-if)#ip address 192.168.10.2 255.255.255.0 PC1(config-if)#no shutdown PC1(config-if)#exit PC1(config)#ip default-gateway 192.168.10.1 PC1(config)#end PC1#show ip in b
5、PC2计算机配置IP地址
1)给PC2接口配置IP地址
PC2(config)#no ip routing PC2(config)#interface fastEthernet 0/0 PC2(config-if)#ip address 192.168.20.2 255.255.255.0 PC2(conifg-if)#no shutdown PC2(config-if)#exit PC2(config)#ip default-gateway 192.168.20.1 PC2(config)#end PC2#show ip int b
二、ASA防火墙访问ISP的Lo0接口配置默认路由,R1路由器访问ISP的Lo0接口配置默认路由、ISP访问PC1和PC1配置静态路由全网互通
1、ASA防火墙配置默认路由
1)在ASA1上配置默认路由
ASA1(config)#route outside 0 0 192.168.100.1 ASA1(config)#end
2)查看默认路由
ASA1#show route
2、R1路由器配置默认路由
1)在R1路由器配置默认路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1 R1(config)#end
2)查看R1路由表
R1#show ip route
3、ISP路由器配置静态路由
1)在ISP路由器配置静态路由
ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.100.2 ISP(config)#ip route 192.168.20.0 255.255.255.0 192.168.200.2 ISP(config)#end
2)查看路由表
ISP#show ip route
4、ASA防火墙将ICMP协议添加状态列表验证全网互通
1)ASA将ICMP协议添加状态化列表、验证全网互通
ASA1(config)#fixup protocol icmp ASA1(config)#end ASA1#ping 192.168.20.2
三、在ASA上开启NAT控制强流量被NAT转换并配置NAT,在路由器R1上配置NAT实现PC1访问Lo0接口流量被NAT转发,PC2访问ISP的Lo0接口流量被NAT转发
1、ASA配置NAT
1)开启NAT控制强制流量走NAT
ASA1(config)#nat-control
2)配置访问控制识别NAT的流量
ASA1(config)nat (inside) 1 192.168.10.0 255.255.255.0
3)将识别的流量映射到outside接口
ASA1(config)global (outside) 1 interface
4)访问ISP的Lo0接口
PC#ping 192.168.30.1
5)查看地址转换列表
ASA#show xlate detail
2、路由器R1配置NAT
1)接口开启NAT功能
R1(config)#interface fastEthernet 1/0 R1(config-if)#ip nat outside R1(config-if)#exit R1(config)#interfacce fastEtheernet 0/0 R1(config-if)#ip nat iside R1(config-if)#exit
2)创建访问控制列表识别NAT流量VPN流量不能被NAT转换进行区分
R1(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 R1(config)#access-list 100 permit ip 192.168.20.0 0.0.0.255 any
3)将NAT的流量映射到路由器外网接口
R1(config)#ip nat inside source list 100 interface fastEthernet 1/0 over load
4)开启NAT跟踪
R1#debug ip nat
5) PC2访问ISP的Lo0接口IP地址
PC2#ping 192.168.30.1
6) 查看地址转换信息
四、在ASA防火墙和R1路由器上配置IPSec VPN实现PC1访问PC2流量被NAT转换
1、创建豁免访问控制列表并应用
1)创建豁免访问控制列表
ASA1(config)#access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20 255.255.255.0
2)应用豁免
ASA1(config)#nat (inside) 0 access-list nonat
2、配置ASA防火墙配置IPSec VPN
1)创建安全策略
ASA1(config)#crypto isakmp policy 1 ASA1(config-isakmp-policy)#encryption aes ASA1(config-isakmp-policy)#hash md5 ASA1(config-isakmp-poiicy)#authentication pre-share ASA1(config-isakmp-policy)#group 2 ASA1(config-isakmp-policy)#exit
2)创建访问控制列表识别经过ipsec VPN转发的流量
ASA1(config)#access-list ipsecvpn permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0
3)开启Outside接口允许IKE协商建立IPSec VPN连接
ASA1(config)#crypto isakmp enable outside
4) 配置共享密钥pwd@123和允许和对端IP地址192.168.200.2建立IPSec VPN
ASA1(config)#crypto isakmp key pwd@123 address 192.1668.200.2
5)创建传输集名字bj-set,加密使用aes验证使用md5
ASA1(config)#crypto ipsec transform-set bj-set esp-aes esp-md5-hmac
6)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集
ASA1(config)#crypto map bj-vpn 1 match address ipsecvpn ASA1(config)#crypto map bj-vpn 1 set peer 192.168.200.2 ASA1(config)#crypto map bj-vpn 1 set transform-set bj-set
7)将crypto map应用到Outside接口
ASA1(config)#crypto map bj-vpn interface outside
8)配置访问控制列表允许低安全级别访问高
ASA1(config)#access-list out_to_in permit ip any any ASA1(config)#access-group out_to_in in interface outside
3、配置路由器IPSec VPN
1)创建安全策略
R1(config)#crypto isakmp policy 1 R1(config-isakmp)#encryption aes R1(config-isakmp)#hash md5 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 2 R1(config-isakmp)#lifetime 86400 R1(config-isakmp)#exit
2)创建访问控制列表设置经过ipsec VPN转发的流量
R1(config)#eccess-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
3)配置共享密钥pwd@123和对端192.168.200.2IPSec VPN
R1(config)#crypto isakmp key 0 pwd@123 address 192.168.100.2
4)创建传输集
R1(config)#crypto ipsec transorm-set sh-set esp-aes esp-md5-hmac
5)创建crypto map调用访问控制列表、调用对端建立ipsec vpn连接地址、调用传输集
R1(config)#crypto map sh-vpn 1 ipsec-isakmp R1(config-crypto-map)#match address 101 R1(config-crypto-map)#set peer 192.168.100.2 R1(config-crypto-map)#set transform-set sh-set R1(config-crypto-map)#exit
6)将crypto map应用到接口
R1(config)#interface fastEthernet 1/0 R1(config)#crypto map sh-vpn
4、验证IPSec VPN
1)PC2访问PC1
PC2#ping 192.168.10.2
2)查看路由器IPSec VPN连接状态
R1#show crypto isakmp sa
3)查看IPSec VPN数据包转发状态
R1#show crypto ipsec sa
4)PC1访问PC2
PC1#ping 192.168.20.2
5)查看ASA防火墙IPSec VPN连接状态
ASA1#show crypto isakmp sa
6)查看ASA防火墙IPSec VPN数据转发情况
ASA1#show crypto ipsec sa
5、验证NAT
1)PC1访问ISP的Lo0接口使用NAT
PC1#ping 192.168.30.1
ASA1#show xlate detail
2)PC2访问ISP的Lo0接口使用NAT
PC2#ping 192.168.30.1
R1#debug ip nat
