192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

思科防火墙NAT穿越技术

发布时间:2014-11-11 09:42

拓扑图和需求:

  1. R1作为局域网出口路由器,承担这PAT地址转换功能。

  2. ASA需要跟R3建立vpn

  3. R4作为局域网内部机器可以跟R3互联,并可以上外网

步骤:

  1. 给所有设备配置ip地址,地址规划如上图所示并默认路由

  • 在R4上面配置ip地址配置默认路由

interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
no shutdown

http://www.luyouqiwang.com/cisco
ip route 0.0.0.0 0.0.0.0 192.168.1.1

  • 在ASA1上面配置ip地址,默认路由

interface Ethernet0/0                     //进接口
 nameif outside                           //配置接口名称
 security-level 0                         //设置安全等级


 ip address 14.0.0.4 255.255.255.0       //配置ip地址
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 14.0.0.1 1         //防火墙配置默认路由

  • 在R1上面配置ip地址,静态路由

interface FastEthernet0/0
 ip address 14.0.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 12.0.0.1 255.255.255.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 12.0.0.2
ip route 192.168.1.0 255.255.255.0 14.0.0.4     //给R1指一条返程路由

  • 在R2上面配置ip地址

interface FastEthernet0/0
 ip address 12.0.0.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 23.0.0.2 255.255.255.0
 duplex auto
 speed auto

  • 在R3上面配置ip地址,并配置默认路由

interface Loopback0
 ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 23.0.0.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 23.0.0.2

2.让局域网络有设备都能够访问外网,但由于只有一个公网的ip地址所以只能做动态PAT

  • 在R1上面做PAT

interface FastEthernet0/0
 ip nat inside

!
interface FastEthernet0/1
 ip nat outside

!
access-list 101 permit ip any any
ip nat inside source list 101 interface FastEthernet0/1 overload   //做接口负载

3.在两端设备上面做SA安全集,使两端的设备加密方式,hash方式和隧道传输方式等都必须相同才能建立链接

  • 在R3上面配置ipsec vpn的相关配置

crypto isakmp policy 1                         //配置isakmp加密策略
 encr 3des                                    //指定加密方式为3des
 hash md5                                     //指定哈希方式为md5
 authentication pre-share                      //指定认证方式为  与共享方式
 group 2                                        //配置HD交换秘钥组为2
 lifetime 120                                 //生存周期为120秒
crypto isakmp key abc123 address 12.0.0.1  //指定欲共享秘钥为abc123,指定对端的ip地址为12.0.0.1


!
!
crypto ipsec transform-set benetset esp-3des esp-md5-hmac   //配置ipsec传输集,在ipsec传输集中指定数据的加密方式,数据哈希方式和数据的传输模式(传输模式还是隧道模式)
!
crypto map benetmap 1 ipsec-isakmp             //配置计划的名称
 set peer 12.0.0.1                       //指定建立邻居的ip地址

 set transform-set benetset              //调用上面配置的传输集
 match address 102                       //调用感兴趣流

access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255      //通过访问控制列表指定感兴趣流

!
interface FastEthernet0/0                  //进入路由器的出口接口        
 crypto map benetmap                      //将配置的计划命令

由于对端防火墙配置的私有ip地址,所以不能够从公网上面直接和防火墙进行通讯,所以这里直接指向了局域网的出口路由器的出口ip地址。并要在出口路由器上面做静态PAT,当外网路由vpn网关时,路由器将自动转换到防火墙从而实现通讯。

ip nat inside source static udp 14.0.0.4 500 12.0.0.1 500 extendable
ip nat inside source static udp 14.0.0.4 4500 12.0.0.1 4500 extendable
4.在防火墙上面配置SA安全集,配置方法和上面基本相同,指定对端的ip地址

crypto ipsec transform-set benetset esp-3des esp-md5-hmac
crypto map benetmap 1 match address benetacl
crypto map benetmap 1 set peer 23.0.0.3
crypto map benetmap 1 set transform-set benetset
crypto map benetmap interface outside
crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 120
 pre-shared-key *
access-list benetacl extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0


5.通过上面配置,局域网中的设备便可以方位远端的R3,并可以访问外网

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明