路由器和思科防火墙之间的IPSec配置

这个文档说明了在路由器和思科防火墙之间的IPSec配置。在总部和分公司之间的流量使用的是私有IP地址,当分公司的局域网用户访问互联网时,需要进行地址转换。

网络拓扑


配置

定义去路由器的流量:

access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0

!--- 去路由器的流量不做地址转换

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0

ip address outside 172.17.63.213 255.255.255.240

ip address inside 10.1.1.1 255.255.255.0

global (outside) 1 172.17.63.210

!--- 去路由器的流量不做地址转换

nat (inside) 0 access-list nonat

nat (inside) 1 10.1.1.0 255.255.255.0 0 0

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 172.17.63.209 1

!--- IPSec 策略:

sysopt connection permit-ipsec

crypto ipsec transform-set avalanche esp-des esp-md5-hmac

crypto ipsec security-association lifetime seconds 3600

crypto map forsberg 21 ipsec-isakmp

crypto map forsberg 21 match address ipsec

crypto map forsberg 21 set peer 172.17.63.230

crypto map forsberg 21 set transform-set avalanche

crypto map forsberg interface outside

!--- IKE 策略:

isakmp enable outside

isakmp key westernfinal2000 address 172.17.63.230 netmask 255.255.255.255

isakmp identity address

isakmp policy 21 authentication pre-share

isakmp policy 21 encryption des

isakmp policy 21 hash md5

isakmp policy 21 group 1

: end

Branch Router

hostname Branch_Router

!--- IKE策略:

crypto isakmp policy 11

hash md5

authentication pre-share

crypto isakmp key westernfinal2000 address 172.17.63.213

!--- IPSec策略:

crypto ipsec transform-set sharks esp-des esp-md5-hmac

crypto map nolan 11 ipsec-isakmp

set peer 172.17.63.213

set transform-set sharks

match address 120

!

interface Ethernet0

ip address 172.17.63.230 255.255.255.240

ip nat outside

crypto map nolan

!

interface Ethernet1

ip address 10.2.2.1 255.255.255.0

ip nat inside

!

ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.240

ip nat inside source route-map nonat pool branch overload

ip route 0.0.0.0 0.0.0.0 172.17.63.225

access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

access-list 130 permit ip 10.2.2.0 0.0.0.255 any

route-map nonat permit 10

match ip address 130

end

时间: 2024-11-05 19:17:12

路由器和思科防火墙之间的IPSec配置的相关文章

Juniper防火墙L2TP over IPSEC配置图解

在前面我发了一篇文章<juniper防火墙之图解l2tp vpn配置>,我们从那篇文章中了解了如何配置.但是我们知道,L2TP VPN只是与我们的L2TP VPN服务器连接起来了,但并没有对我们的数据进行加密,我们也知道IPSEC它的数据是经过加密了的,如果对IPSEC不清楚的朋友可以看看我以前发的<ipsec vpn概念(一) >与<ipsec vpn概念(二) >进行了解.好了那我们的IPSEC是需要经过加密,而我们的L2TP提供我们与服务器的连接,那么我们如何不把

配置 IPSec - 路由器到PIX防火墙

这个文档说明了在路由器和思科防火墙之间的IPSec配置.在总部和分公司之间的流量使用的是私有IP地址,当分公司的局域网用户访问互联网时,需要进行地址转换. 网络拓扑 配置 定义去路由器的流量: access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 !--- 去路由器的流量不做地址转换 access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0

思科防火墙ASA的配置案例

思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext. 首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件 打开nptp,点击"Edit"新建一个连接,参数可如下 使用连接工

在Linux内使用IPSEC配置网络对网络和点对点的VPN连接

目前,全球的许多组织都在使用各种可用的物理连接方法来连接各个办公室.可使用的方式有专用数字线路和虚拟专用网 (Virtual http://www.aliyun.com/zixun/aggregation/33969.html">Private Networks, VPN),而后者要比物理线路便宜很多.VPN 与专线部署的方式几乎相同,但却可以将几个 LAN 组合成一个并可对流量进行加密以隐藏所传输的数据.当在 VPN 技术中部署加密时,通常会使用开放标准.这涉及到在 IP 上传输并使用数

BlackNurse新型DoS攻击 15M流量就可以打瘫思科防火墙 思科做出了回应

近日,丹麦电信运营商TDC的安全运营中心TDC SOC公布了名为BlackNurse的新型DoS攻击,攻击者仅仅利用一台普通笔记本电脑就能攻击大型服务器使之瘫痪.在这一攻击面前, Cisco Systems.Palo Alto Networks.SonicWall和 Zyxel等众多防火墙将会失去其防御性,不过目前,思科已经否认了该新型DoS攻击属于安全问题,但并没有就此作出进一步的解释. TDC SOC是丹麦的一家安全运营中心,成立于2015年.丹麦电信运营商TDC的安全运营中心(SOC)的专

思科防火墙互联网服务提供商成功案例

XB 公司提供的任何新服务都力求满足四个标准.首先服务必须是完整的;而且应当是可扩展的和灵活的;此外,服务还必须容易管理,以便 XB 网络能够为其客户提供最佳的服务并保证服务的可靠性.在与另一个厂商的防火墙产品做了比较后, XB 网络选择了思科公司的 Cisco IOS 防火墙产品,以及 Cisco 路由器和安全设备管理器 (SDM) 2.0 . 商业挑战 随着技术的演进,服务提供商的角色也在发生着变化.荷兰 XB 网络最初是一家互联网服务提供商 (ISP) ,而现在除了提供互联网接入服务外,它

绿盟科技互联网安全威胁周报2016.25 持续关注思科防火墙漏洞

绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-25,绿盟科技漏洞库本周新增46条,其中高危12条.本次周报建议大家关注持续关注思科防火墙漏洞CVE-2016-6366,虽然思科已经给出补丁,但有消息说,攻击者也更新了代码. 焦点漏洞 漏洞描述:Cisco Adaptive Appliance SNMP远程执行代码漏洞 NSFOCUS ID:34586 CVEID:CVE-2016-6366 漏洞点评 Cisco Adaptive Security Appliance (ASA)Sof

网卡配置和DNS配置,手动挂在nas存储的共享目录,网络相关其它操作命令,修改防火墙中的端口配置,resolv.conf配置详细介绍和网卡信息配置详细介绍

1.   网卡配置和DNS配置 若想服务器能够发邮件,需要让部署的服务器能够访问到外网环境.若部署的服务器访问不到外网,通过ping www.baidu.com的方式执行的时候,会出现以下问题:  "ping:unknown host www.baidu.com"  出现上面的原因主要是网络的DNS和网关不正确,需要进行如下操作: A:修改/etc/resolv.conf中的内容,配置如下: vim /etc/resolv.conf  修改里面的内容: resolv.conf的一个示例

2台主机之间建立IPsec安全策略

问题描述 我的虚拟机是windowsserver2003的,名字叫JL,我和一个同是server2003的主机之间建立IPsec安全策略,在JL的控制台上添加"IP安全监视器"时,出现如下所示的错误,但是在那另一台主机上用netview命令也能查看JL上共享的东西,完全没错!这是怎么回事啊?IP安全监视器:与服务器JL联系时,出现了以下错误:出现了特定的安全软件包错误 解决方案 解决方案二:这个没有试过待高手解析呵呵解决方案三:DDDDDDDDDD