网络设备安全部署-PPT07-v1.0.ppt

* * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */20 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第七章 IPSec VPN 高级应用 —— 理论部分 在ASA上配置IPSec VPN时，NAT豁免的作用是什么？ 简述配置IPSec VPN 时，ASA防火墙与路由器的区别？ 课程回顾 会配置多点 IPSecVPN 会在Cisco路由器上配置实现NAT穿越 技能展示 本章结构 IPSec和地址转换 IPSec VPN高级应用 多点IPSec VPN的实现思想 配置简单的IPSec VPN多点 　地址转换存在的问题及解决方案 路由器实现NAT-T 多点IPSec VPN的配置过程 F0/0 多点IPSec VPN 在一个物理接口上同时只能应用一个Crypto Map 通过Crypto Map不同序号，与Peer进行策略匹配 设置预共享密钥和Crypto ACL 多点IPSec VPN的实现思想 R1 R2 R3 ISP 总公司 分支机构 分支机构 F0/0 F0/0 benet-map 1 …… benet-map 2 …… benet-map 1 …… benet-map 2 …… 配置IPSec VPN ISP通过一台路由器模拟，R1、R2、R3分别是公司的网关 多点IPSec VPN的配置实例4-1 F0/0 R1 R2 R3 ISP 1.1.1.0/24 F0/0 F0/0 10.0.0.0/30 20.0.0.0/30 30.0.0.0/30 2.2.2.0/24 3.3.3.0/24 .1 .1 .1 配置路由 多点IPSec VPN的配置实例4-2 R1(config)#ip route 0.0.0.0 0.0.0.0 F0/0 R2(config)#ip route 0.0.0.0 0.0.0.0 F0/0 R3(config)#ip route 0.0.0.0 0.0.0.0 F0/0 ISP(config)#ip route 1.1.1.0 255.255.255.0 10.0.0.1 ISP(config)#ip route 2.2.2.0 255.255.255.0 20.0.0.1 ISP(config)#ip route 3.3.3.0 255.255.255.0 30.0.0.1 R1(config)#crypto isakmp policy 1 R1(config-isakmap)#encryption 3des R1(config-isakmap)#hash sha R1(config-isakmap)#authentication pre-share R1(config-isakmap)#group 2 R1(config)#crypto isakmp key 0 benet-001 address 20.0.0.1 R1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1(config)#crypto ipsec transform-set benet-set esp-des esp-sha-hmac R1(cfg-crypto-trans)#exit R1(config)#crypto map benet-map 1 ipsec-isakmp R1(config-crypto-map)#set peer 20.0.0.1 R1(config-crypto-map)#set transform-set benet-set R1(config-crypto-map)#match address 100 R1(config)#interface f0/0 R1(config-if)#crypto map benet-map 配置R1-R2之间的IPSec VPN 配置IKE策略 与R2的Crypto Map映射 用于与R2建立管理连接 与R2之间的Crypto ACL 实现多点IPSec VPN 添加R1-R3的预共享密钥 添加R1-R3的Crypto ACL 配置新的Crypto Map，要求映射名相同，而序号不同 多点IPSec VPN的配置实例4-3 R1(config)#crypto isakmp key 0 benet-002 address 30.0.0.1 R1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 3.3.3.0