-拓展任务3.6-2思科ASA防火墙技术专题培训-技术原理及实验.pptVIP

设置透明模式 定义接口 设置透明模式 设置管理 IP(/24) 透明模式下安全策略的定义和路由模式的设置是一样的 VPN 借助IPSec，用户可以通过互联网等不受保护的网络传输敏 感信息。IPSec在网络层操作，能保护和鉴别所涉及的IPSec设 备（对等物）之间的IP包。 IPSec提供的网络安全服务如下： · 数据保密性——在通过网络传输之前，IPSec发送者可以对包进行加密； · 数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别，以保证数据在传输过程中未被篡改； · 数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源，这种服务与数据完整性服务相关； IPSec自动建立安全通道的过程分为两个阶段： · 第一阶段：这个阶段通过互联网密钥交换（IKE）协议实施，能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA，以便实际传输应用数据。 · 第二阶段：这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时，两台对等设备均已建立了一对IPSec SA，以便提供传输应用数据所需的安全通道。SA参数之一是寿命，可配置的寿命期结束之后，SA将自动终止，因此，这个参数能提 高IPSec的安全性。 IKE=isakmp 配置L2L VPN /24 /24 总部 s0/0 internet 分部 s0/0 /24 /24 主要类型：站点到站点VPN和远程接入VPN是VPN的两个类型。 总部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的的数据到 的数据加密 第二个ACL,从总部的的数据到 不做NAT转换,去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip any 分部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的的数据到10.1.1..0 的数据加密 第二个ACL,从总部的的数据到 不做NAT转换, 去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip any /24 /24 总部 s0/0 internet 分部 s0/0 /24 /24 总部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakmp)# group 2 定义组为2 asacisco(config-isakmp)# lifetime 86400 遂道时间 分部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakm