【计算机论文全套栏目提醒】:网学会员鉴于大家对计算机论文全套十分关注,论文会员在此为大家搜集整理了“IPSEC_VNP之NAT-T(完整版) - 计算机理论”一文,供大家参考学习
IPSEC VPN PAT 实验目的与需求描述 此实验是IPSEC VPN与PAT两种技术结合在一起的实验应用因为现在企业网一般情况是与对端私网的通信走VPN遂道IPSEC VPN就是保护两端私网即局域网数据的安全通信而访问Internet的数据需进行PAT转换而这两个技术可在一个设备上应用下面我们就开始在ASA防火墙上应用这两个技术使得ASA防火墙内网的用户既能VPN连接到一对端另一个VPN设备进行两个私网跨Internet的安全通信通过IPSEC VPN保护而访问Internet上的服务器则通过PAT转换从而达到不同的访问流量用不通的应用技术实现各自的正常和有序的访问。
实验拓扑此实验需通过CCSP高级安全模拟器做 实验步骤 一配置各设备的IP地址使得直连链路能ping通。
二配置路由 1. 在R4-GW上配置默认路由下一跳指向202.1.2.2 2. 在ASA上配置默认路由下一跳指向202.1.1.2 3. 在R3上不需要配置路由因为在当前拓扑图下公网只有两个网络即202.1.1.0/24和202.1.2.0/24这些与R3都是直连的。
对于两边VPN设备的私网则不需要配置路由因为公网的路由设备不可能知道到达私网的路由 4. 在R1-PC和P5-PC上只需要配置默认网关分别指向所连的VPN网关设备 配置略 三在R4上配置IPSEC VPN 1. 配置第一阶段策略 R4-GW-VPN configcrypto isakmp policy 10 创建VPN策略 R4-GW-VPN config-isakmp encryption 3des 设置加密方式 R4-GW-VPN config-isakmp authentication pre-share 设置认证方式 R4-GW-VPN config-isakmp hash sha 设置完整性校验算法 R4-GW-VPN config-isakmp group 2 指定DH组即密钥长度 R4-GW-VPN config-isakmp lifetime 10000 设置第一阶段的生存时间 R4-GW-VPN config crypto isakmp key 0 cisco address 202.1.1.1 设置认证用的预共享密钥并指定此密钥针对的对端 2. 配置第二阶段策略 R4-GW-VPN config access-list 120 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 设置要进行VPN保护的私网通信流量也是触发VPN连接的流量 R4-GW-VPN config crypto ipsec transform-set vpn esp-3des esp-sha-hmac 设置第二阶段的安全协议esp加密方式3des和认证/完整性验证方式sha-hmac 3. 配置安全策略关联crypto map R4-GW-VPN config crypto map vpn_map 10 ipsec-isakmp 创建安全策略关联 R4-GW-VPN config-crypto-map match address 120 关联需要保护的流量 R4-GW-VPN config-crypto-map set peer 202.1.1.1 指定建立VPN的对象 R4-GW-VPN config-crypto-map set transform-set vpn 指定第二阶段策略 4. 应用安全策略关联到接口上 R4-GW-VPN config int fa 2/0 进入到连接外网的接口这里为fa 2/0 R4-GW-VPN config-if crypto map vpn_map 在外部接口上关联crypto map 四在ASA上配置IPS vpn 1. 先做好ICMP协议的监控后面测试用的将下面的配置贴到ASA的全局模式上 policy-map global_policy class inspection_default inspect icmp 2. 配置第一阶段策略 ASA-VPN configcrypto isakmp policy 10 创建VPN策略 ASA -VPN config-isakmp encryption 3des 设置加密方式 ASA-VPN config-isakmp authentication pre-share 设置认证方式 ASA-VPN config-isakmp hash sha 设置完整性校验算法 ASA-VPN config-isakmp group 2 指定DH组即密钥长度 ASA-VPN config-isakmp lifetime 10000 设置第一阶段的生存时间 ASA-VPN config crypto isakmp key cisco address 202.1.2.1 设置认证用的预共享密钥并指定此密钥针对的对端预共享密钥和以上参数两个VPN设备要一样对端相互指。
ASA-VPN configcrypto isakmp enable Outside 在外部接口开启isakmp功能 3. 配置第二阶段策略 ASA-VPN config access-list 120 permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 设置要进行VPN保护的私网通信流量也是触发VPN连接的流量 ASA-VPN config crypto ipsec transform-set vpn esp-3des esp-sh