思科路由器L2L、EzVPN旁挂方式部署测试

一.概述:

在实际工作中经常可以看到深信服的SSL VPN可以旁路部署,并且支持路由模式和NAT模式:路由器模式需要内网对VPN分派的地址池地址可路由器;NAT模式,VPN客户端访问内网主机时,内网主机看到的地址为VPN接口地址,因此不需要VPN地址池的地址内网可路由。如是想测试一下思科的设备这种部署方式,先测试L2L和EzVPN,如果有时间准备再测试一下SSLVPN。

二.基本思路:

A.总部的L2L VPN和EzVPN都用Dynamic VTI方式配置

B.如果需要以NAT方式部署,在虚拟模板接口配置NAT

C.通过实验也可以很容易看出,通过DVTI方式配置的L2L和EzVPN不会相互干扰

三.测试拓扑:

四:基本配置:

A.Inside_Router

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 192.168.1.254

B.ASA842:

interface GigabitEthernet0

nameif Inside

security-level 100

ip address 192.168.1.254 255.255.255.0

no shut

interface GigabitEthernet1

nameif DMZ

security-level 50

ip address 10.1.1.254 255.255.255.0

no shut

interface GigabitEthernet2

nameif Outside

security-level 0

ip address 202.100.1.1 255.255.255.0

no sht

route Outside 0.0.0.0 0.0.0.0 202.100.1.10 1

时间: 2024-12-22 10:32:05

思科路由器L2L、EzVPN旁挂方式部署测试的相关文章

思科路由器全局调试方法概述

使用思科路由器的用户非常多,关于思科路由器的全局调试今天在这里我为大家介绍一下,希望对大家有用. 在进行思科路由器配置时,全局和接口命令的界限是十分明显的.在这种情况下,我们使用全局来标识那些不能用于接口调试或者特定的传输介质类型和协议调试的命令. 在2500系列思科路由器中,就可以使用调试命令分析Cisco发现协议(Cisco Discovery Protocol,CDP).我们通过telnet远程登录到思科路由器.在缺省方式下,调试命令的输出被发送到控制台,如果处于telnet会话中,我们可

SSH加强思科路由器远程管理安全

一个恶意用户完全可能通过类似Sniffer这样的嗅探工具,在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码. 那么我们如何利用SSH加强思科路由器远程管理呢?1.安全测试笔者在本地安装了sniffer, 然后利用Telnet登录Cisco路由器.停止嗅探然后解码查看,如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了.虽然密码被拆分 成了两部分,但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码.其实,不仅仅是这些,利用

思科路由器的DM VPN配置过程

在本文中,我们以图解教程的方式为您详解思科路由器的DM VPN配置过程.

思科路由器IKEV2 L2LVPN预共享密码认证最简化配置

一.概述: 思科路由器对于IKEV2,是有很多预配的,因此可以很少的配置就能完成IKEV2的配置. 二.基本思路: A.两边都用SVTI的方式配置Flex VPN B.没有用动态路由,配置静态路由,如果一边用DVTI,则需要两边配置静态路由 三.测试拓扑: 四.Flex VPN的配置: A.R2: crypto ikev2 keyring KeyRing peer 202.100.2.1 address 202.100.2.1 pre-shared-key cisco crypto ikev2

思科路由器及安全配置工具(SDM)

产品简介 Cisco SDM 是一种直观且基于 Web 的设备管理工具,用来管理以 Cisco IOS 软件为基础的路由器.Cisco SDM 可通过智能向导简化路由器及安全配置过程,对于客户及 Cisco 合作伙伴而言,有了这些向导,不必对命令行接口(CLI)有专门的了解,就能快速便捷地部署.配置和监控 Cisco Systems 路由器. SDM的关键特性 易用性针对思科路由器的路由.交换.安全.QoS管理的图形化用户界面 应用智能关于不同IOS功能之间的交互.行业最佳实践和TAC推荐配置的

解析思科路由器性能的奥秘

思科路由器的性能被普遍认定为是比较高的,但具体是一个什么情况呢?今天我们集中剖析一下思科路由器的性能: 我们可以通过将很多DoS攻击流中的数据包与Cisco IOS软件的访问控制列表条目进行匹配,以隔离这些数据包.显而易见,这对过滤攻击非常有价值,并且能够帮助我们识别未知攻击,跟踪"欺骗"数据包流的真正来源.某些时候,我们可将Cisco路由器的一些功能(如debug日志和IP记数)用于类似用途,尤其在遭遇新攻击或者非常规攻击的情况下.然而,随着Cisco IOS软件的最新版本的发布,访

思科路由器恶意后门惊现,全球 19 个国家受威胁

国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多.据说目前19个国家至少79台设备受到安全威胁影响,其中还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门. 这 次的调查结果来自一个计算机科学家团队,他们挖掘了整个IPv4地址空间中受影响的设备.根据Ars本周二的报道,在收到一系列非正常不兼容的网络数据 包,以及硬编码密码之后,所谓的SYNful Knock路由器植入就会激活.通过仅发送序列错乱的TCP包,而非密码至每个地址,监控回应,研究人员就能检测到设备是

思科路由器被黑客疯狂入侵 海量数据危险

据悉,美国互联网安全公司FireEye旗下安全部门Mandiant周二称,他们发现一种新的针对路由器的攻击手段,允许黑客盗取海量数据,又不会被当前的网络安全防御系统检测到. Mandiant称,这种攻击方法能替换思科路由器的操作系统. 众所周知,思科是全球最大的路由器厂商. 到目前为止,已在印度.墨西哥.菲律宾.乌克兰四国发现了14起攻击事件. 对此,思科已证实这些攻击针对其操作系统软件平台,并已向用户发出警告. 思科还称,目前已与Mandiant合作,开发能够帮助用户检测出这些攻击的解决方案.

更多思科路由器发现后门:中国有4台

安全公司FireEye前两天刚刚发布报告称在四个国家的14台思科路由器上发现SYNful Knock后门程序,现在又发现79台路由器存在相同后门. SYNful Knock 后门程序 安全研究人员为进一步调查受感染设备而对所有IPv4地址进行了扫描,这个被称为SYNful Knock的后门应用程序,在收到一串特别的.不合标准的网络数据包硬编码密码之后,后门被激活.通过向每一个网络地址发送无序TCP数据包而非密码便可监视应答,因此研究者发现了那些被感染的后门. 本周二,当FireEye第一次曝出S