收藏
下载资源

cisco防火墙常见功能实现

上传人:shaoy****1971 文档编号:115434744 上传时间:2019-11-13 格式:PPT 页数:37 大小:422KB
返回 下载 相关 举报
cisco防火墙常见功能实现_第1页
第1页 / 共37页
cisco防火墙常见功能实现_第2页
第2页 / 共37页
cisco防火墙常见功能实现_第3页
第3页 / 共37页
cisco防火墙常见功能实现_第4页
第4页 / 共37页
cisco防火墙常见功能实现_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《cisco防火墙常见功能实现》由会员分享,可在线阅读,更多相关《cisco防火墙常见功能实现(37页珍藏版)》请在金锄头文库上搜索。

1、2019/11/13,Inspur group,CISCO防火墙常见功能实现,Inspur group,主要内容,ASA/PIX基本配置 访问控制 VPN配置 双机配置 特殊情况使用 防火墙板卡,Inspur group,ASA/PIX基本配置,1、设备名称 asa(config) hostname asa 2、接口 信息配置 interface fastehernet 0/1 ip add 10.1.1.1 25.255.255.0 nameif outside security-level 0 6.0及以前版本使用如下命令: nameif fastethernet0/1 outside s

2、ecurity-level 0 ip address outside 10.1.1.1 255.255.255.0 3、路由配置 route outside 0.0.0.0 0.0.0.0 10.1.1.2,Inspur group,ASA/PIX基本配置,Nameif:为每个端口确定名字 security-level :安全级别,你可以给每个端口分配1-99的任何一个安全级别,数值越大,安全级别越高。默认inside 100、 manage 100、outside0,2019/11/13,Inspur group,访问控制,当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT (in

3、sideoutside、inside dmz、dmz outside) 当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC + ACL (outsideinside、outsidedmz、dmzinside),Inspur group,访问控制-NAT,动态NAT 静态NAT BYPASS NAT,Inspur group,访问控制-NAT,动态NAT 将内网的多个私有地址转换成外网地址 Global (outside) 1 202.102.111.1 Nat (inside) 1 192.168.0.0 255.255.255.0 上述命令表示内部192.168.0.0/24

4、网段访问外网的时将转换成 202.102.111.1的地址访问internet,若以外网端口地址转换则称为PAT Global (outside) 1 interface Nat (inside) 1 192.168.0.0 255.255.255.0,Inspur group,访问控制-NAT,动态NAT global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address netmark global_mask 其中: (if_name):表示外网接口名称,一般为outside。 nat_id

5、:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 netmark global_mask:表示全局ip地址的网络掩码。,Inspur group,访问控制-NAT,动态NAT nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat (if_name) nat_id local_ip netmark 其中: (if_name):表示接口名称,一般为inside. nat_id: 表示地址池,由global命令定义。 local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。 netmark:

6、表示内网ip地址的子网掩码。,Inspur group,访问控制-NAT,静态NAT 配置内网地址与外网地址一一对应,也可以配置基于应用端口的静态 转换,称为static PAT,Inspur group,访问控制-NAT,静态NAT Static (inside,outside) 209.165.201.1 10.1.1.1 netmask 255.255.255.255 Static (inside,outside) tcp 209.165.201.1 23 10.1.1.1 23 Netmask 255.255.255.255,Inspur group,访问控制-NAT,静态NAT st

7、atic(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中: internal_if_name表示内部网络接口,安全级别较高,如inside。 external_if_name表示外部网络接口,安全级别较低,如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。,Inspur group,访问控制-NAT,BYPASS NAT 高安全级别区域地址以原地址访问低安全级别区域,Inspur group,访问控

8、制-NAT,BYPASS NAT 1、整体 hostname(config)# nat (inside) 0 10.1.1.0 255.255.255.0 2、匹配策略 Access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 Nat (inside) 0 access-list 100,Inspur group,访问控制-ACL,标准 Access-list test stand permit 192.168.0.0 255.255.255.0 扩展 Access-list test exten

9、ded permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 使用方法: Access-group test in interface outside,Inspur group,VPN配置,LAN-LAN (L2L) Remote-access (ra),Inspur group,VPN配置-L2L,环境说明 两地用户,内部网段分别为10.1.1.0/24与10.1.2.0/24 要求使用L2L进行数据加密处理,Inspur group,VPN配置-L2L,1、定义IKE policy ,并在接口启用 crypto isak

10、mp policy 10 authentication pre-share /pre-share认证方式 encryption 3des /加密 hash sha /完整性验证 group 2 /密钥位数1024,group1为768 lifetime 86400 /sa周期默认一天 crypto isakmp enable outside,Inspur group,VPN配置-L2L,2、定义触发流量 access-list 100 extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 3、配置VPN流量以原地址访问

11、 access-list nonat extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 nat (inside) 0 access-list nonat,Inspur group,VPN配置-L2L,4、定义IPSEC转换集 crypto ipsec transform-set myset esp-3des esp-sha-hmac Esp-3des 加密算法;esp-sha-hmac 验证算法 5、配置加密图并应用在相关接口 crypto map outside_map 20 match address 100

12、crypto map outside_map 20 set peer 192.168.1.1 crypto map outside_map 20 set transform-set myset crypto map outside_map interface outside,Inspur group,VPN配置-L2L,6、配置虚拟通道及属性 tunnel-group 192.168.1.1 type ipsec-l2l tunnel-group 192.168.1.1 ipsec-attributes pre-shared-key *,Inspur group,VPN配置-Remote AC

13、CESS,1、配置用户地址池 ip local pool vpnpool 192.168.10.1-192.168.10.100 2、配置IKE协商策略,并应用在外网接口 crypto isakmp policy 10 authentication pre-share /pre-share认证方式 encryption 3des /加密 hash sha /完整性验证 group 2 /密钥位数1024,group1为768 lifetime 86400 /sa周期默认一天 crypto isakmp enable outside,Inspur group,VPN配置-Remote ACCES

14、S,3、定义转换集 crypto ipsec transform-set myset esp-3des esp-sha-hmac 4、配置动态加密图 Crypto dynamic-map ravpn 10 set transform-set myset Crypto dynamic-map ravpn 10 set reverse-route 5、配置静态加密图调用动态加密图并应用在外部接口 crypto map vpn 10 ipsec-isakmp dynamic ravpn crypto map vpn interface outside,Inspur group,VPN配置-Remot

15、e ACCESS,6、允许nat穿越 Crypto isakmp nat-traversal 7、创见并设置组策略 Group-policy vpnclient internal Group-policy vpnclient attributes dns-server value 1.1.1.1 split-tunnel-policy tunnelall,Inspur group,VPN配置-Remote ACCESS,8、隧道组建立及属性设置 Tunnel-group vpnclient type ipsec-ra Tunnel-group vpnclient ipsec-attribute

16、s pre-shared key cisco Tunnel-group vpnclient general-attributes address-pool vpnpool authentication-server-group (outside) LOCAL default-group-policy vpnclient,Inspur group,VPN配置-Remote ACCESS,8、设置账户 Username cisco password cisco Username cisco attributes 9、配置VPN用户与内部网络访问(假设内网为192.168.1.0) acl 192.168.10.0 192.168.1.0 (outside) no nat 192.168.1.0 192.168.10.0 (inside),Inspur group,VPN配置-讨论

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 职业教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号