色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

工業路由器與Cisco ASA防火墻構建IPSec VPN配置指導

北京東用科技有限公司 ? 2023-03-03 16:42 ? 次閱讀

1.概述
本文檔主要講述了關于東用科技路由器與中心端Cisco ASA/PIX防火墻構建LAN-to-LAN VPN的方法。ORB全系列產品均支持VPN功能,并與眾多國際主流中心端設備廠商產品兼容。建立起LAN-to-LAN VPN之后便可以實現下位機—路由器LAN端與上位機—中心端設備LAN進行雙向通信
2.網絡拓撲
2.1網絡拓撲

poYBAGQBobuAG99zAAWGd78fJw0687.pngpYYBAGQBobqAQekIAABaIzGhrlc480.png


2.2網絡拓撲說明
●中心端設備為Cisco ASA/PIX防火墻,IOS版本8.0;外部IP地址173.17.99.100,掩碼255.255.255.0;內部IP地址172.16.1.1,掩碼255.255.255.0
●接入端1設備為東用科技路由器;外部IP地址193.169.99.100,掩碼255.255.255.0;內部IP地址192.168.2.1,掩碼255.255.255.0
●接入端2設備為東用科技路由器;外部IP地址193.169.99.101,掩碼255.255.255.0;內部IP地址192.168.3.1,掩碼255.255.255.0
3.配置指導
3.1中心端Cisco ASA/PIX基本配置
Ciscoasa&pix#configure terminal//進入配置模式
Ciscoasa&pix(config)#interface ethernet 0/1//進入內部接口的配置模式(端口類型及端口號請以現場設備為準,內部或外部接口可自行選擇)
Ciscoasa&pix(config-if)#nameif inside//為內部接口關聯一個inside的名稱
Ciscoasa&pix(config-if)#ip address 172.16.1.1 255.255.255.0//為內部接口配置IP地址
Ciscoasa&pix(config-if)#exit//退出內部接口的配置模式
Ciscoasa&pix(config)#interface ethernet 0/0//進入外部接口的配置模式(端口類型及端口號請以現場設備為準,內部或外部接口可自行選擇)
Ciscoasa&pix(config-if)#nameif outside//為外部接口關聯一個outside的名稱
Ciscoasa&pix(config-if)#ip address 173.17.99.100 255.255.255.0//為外部接口配置IP地址
Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式
Ciscoasa&pix(config)#route outside 0.0.0.0 0.0.0.0 173.17.99.1//配置靜態默認路由,173.17.99.1為外部接口的網關地址,該地址一般為ISP提供
Ciscoasa&pix(config)#access-list permiticmp extended permit icmp any any//創建訪問控制列表允許所有icmp報文,此條訪問控制列表的目的是為了測試或排障時使用ping命令(防火墻默認是禁止任何ICMP包通過的)
Ciscoasa&pix(config)#access-group permiticmp in interface outside//將訪問控制列表應用到外部接口
Ciscoasa&pix(config)#access-list nonat extended permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0//創建訪問控制列表允許172.16.1.0/24網絡到192.168.2.0/24網絡,此條訪問控制列表的目的是對172.16.1.0/24網絡到192.168.2.0/24網絡的數據包IP字段不進行地址轉換(PAT),172.16.1.0/24是中心端內部網絡,192.168.2.0/24是遠端內部網絡
Ciscoasa&pix(config)#global(outside)1 interface//在外部接口(outside)上啟用PAT
Ciscoasa&pix(config)#nat(inside)0 access-list nonat//對從內部接口進入的且匹配nonat訪問控制列表的數據包IP字段不進行地址轉換(PAT),序列號0代表不轉換
Ciscoasa&pix(config)#nat(inside)1 172.16.1.0 255.255.255.0//對從內部接口進入的源地址為172.16.1.0/24的數據包IP字段進行地址轉換(PAT)。注:防火墻在收到內部接口進入的數據包后會檢查IP字段,并按照NAT條件順序進行地址轉換
Ciscoasa&pix(config)#write memory//保存配置
3.2遠端東用科技路由器基本配置
3.2.1遠端ORB305 WAN口配置(如無WAN口或采用4G撥號則跳過此步驟)
接通ORB305電源,用一根網線連接ORB305的LAN口和PC,打開瀏覽器,輸入網址192.168.2.1進入ORB305web頁面,用戶名admin,密碼admin點擊登錄。
進入“網絡”->“接口”->“鏈路備份”將接口WAN鏈路勾選啟用并將優先級置頂(此處以靜態IP為例,其他撥號類型請參閱ORB305-4G系列工業路由器快速安裝手冊)。

pYYBAGQBociARA59AAEy4_L6eN8493.png


進入“廣域網”選擇撥號類型為“靜態IP”并配置IP地址以及其它網口信息

poYBAGQBodCAE5bxAAFg8pHhFXs786.png


3.2.2遠端ORB305/ORB301 LAN口配置
進入“網絡”->“接口”->“網橋”如圖使用缺省配置即可。

pYYBAGQBodeAKutSAACZtuHbhso347.png


至此ORB305基本配置完成
3.3 IPSec VPN配置
3.3.1中心端Cisco ASA/PIX IPSec VPN配置
Ciscoasa&pix#configure terminal
Ciscoasa&pix(config)#isakmp enable outside//在外部接口(outside)開啟isakmp。
Ciscoasa&pix(config)#crypto isakmp policy 10//定義IKE策略優先級(1為優先級)
Ciscoasa&pix(config-isakmp-policy)##encr 3des//定義加密算法
Ciscoasa&pix(config-isakmp-policy)#hash md5//定義散列算法
Ciscoasa&pix(config-isakmp-policy)#authentication pre-share//定義認證方式
Ciscoasa&pix(config-isakmp-policy)#group 2//定義密鑰交換協議/算法標示符
Ciscoasa&pix(config-isakmp-policy)#exit//退出IKE策略配置模式
Ciscoasa&pix(config)#crypto IPSec transform-set cisco esp-3des esp-md5-hmac//創建IPSec轉換集cisco
Ciscoasa&pix(config)#crypto isakmp nat-traversal//開啟防火墻的NAT-T功能
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set transform-set cisco//創建動態映射dymap并關聯轉換集,1為序列號
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set reverse-route//為動態映射開啟RRI(reverse-route injection)反向路由注入
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 match address nonat//為動態映射關聯興趣流量
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set pfs group2//為動態映射開啟pfs(perfect forward secrecy)完美向前加密
Ciscoasa&pix(config)#crypto map finalmap 10 IPSec-isakmp dynamic dymap//創建映射并調用動態映射
Ciscoasa&pix(config)#crypto map finalmap interface outside//在外部接口(outside)上應用映射
Ciscoasa&pix(config)#tunnel-group-map default-group DefaultL2LGroup//創建默認隧道組
Ciscoasa&pix(config)#tunnel-group DefaultL2LGroup IPSec-attributes//進入默認隧道組配置模式
Ciscoasa&pix(config-tunnel-IPSec)#pre-shared-key cisco//設置默認隧道組的與共享密鑰
Ciscoasa&pix(config-tunnel-IPSec)#exit//退出默認隧道組配置模式
Ciscoasa&pix#write memory//保存配置
至此中心端Cisco ASA/PIX防火墻IPSec VPN配置結束
3.3.2 ORB305路由器端配置:
1、將SIM卡插入路由器卡槽
2、給設備上電,登入路由器web頁面(默認為192.168.2.1)
3、進入網絡→接口→連鏈路備份界面啟用對應SIM卡并上調鏈路優先級,保存配置
4、對應SIM卡撥號成功,當前鏈路變為綠色

poYBAGMkVpSALg4cAABXhOowYlI942.png


5、進入網絡→VPN→IPsec界面進行路由器(IPsec VPN客戶端)配置

poYBAGORvGeALzVOAACsidImEKg306.pngpoYBAGQBoemADPywAAHU59RLrHI032.pngpYYBAGQBoemAGU5VAAG7Lm9u3Ac378.png


保存并應用配置后即可進入狀態→VPN頁面看到IPsec VPN狀態為已連接

poYBAGQBofeALZ_mAACWfcPuq3w602.png


3.3.3 ORB301路由器端配置:
1、將SIM卡插入路由器卡槽
2、給設備上電,登入路由器web頁面(默認為192.168.2.1)
3、進入網絡→接口→連鏈路備份界面啟用對應SIM卡并上調鏈路優先級,保存配置
4、進入VPN功能→IPSec→IPSec→進行路由器(IPSec VPN客戶端)配置

pYYBAGQBof6AHRaQAAA60rZN8ck785.png


保存并應用配置后即可進入狀態頁面看到IPSec VPN狀態為已連接。
3.4驗證
3.4.1中心端驗證
Ciscoasa&pix(config)#show crypto isakmp sa
Active SA:1
Rekey SA:0(A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA:1
1 IKE Peer:193.169.99.100
Type:L2L Role:responder
Rekey:no State:MM_ACTIVE
如果出現上述顯示則表示第一階段協商成功
Ciscoasa&pix(config)#show crypto IPSec sa
interface:outside
Crypto map tag:dymap,seq num:1,local addr:173.17.99.100
access-list nonat permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident(addr/mask/prot/port):(172.16.1.0/255.255.255.0/0/0)
remote ident(addr/mask/prot/port):(192.168.2.0/255.255.255.0/0/0)
current_peer:193.169.99.100
#pkts encaps:105,#pkts encrypt:105,#pkts digest:105
#pkts decaps:105,#pkts decrypt:105,#pkts verify:105
#pkts compressed:0,#pkts decompressed:0
#pkts not compressed:105,#pkts comp failed:0,#pkts decomp failed:0
#pre-frag successes:0,#pre-frag failures:0,#fragments created:0
#PMTUs sent:0,#PMTUs rcvd:0,#decapsulated frgs needing reassembly:0
#send errors:0,#recv errors:0
local crypto endpt.:173.17.99.100,remote crypto endpt.:193.169.99.100
path mtu 1500,IPSec overhead 58,media mtu 1500
current outbound spi:1B7B60FB
inbound esp sas:
spi:0xF33099AA(4080048554)
transform:esp-3des esp-md5-hmac none
in use settings={L2L,Tunnel,PFS Group 2,}
slot:0,conn_id:12288,crypto-map:dymap
sa timing:remaining key lifetime(sec):3493
IV size:8 bytes
replay detection support:Y
outbound esp sas:
spi:0x1B7B60FB(461070587)
transform:esp-3des esp-md5-hmac none
in use settings={L2L,Tunnel,PFS Group 2,}
slot:0,conn_id:12288,crypto-map:dymap
sa timing:remaining key lifetime(sec):3493
IV size:8 bytes
replay detection support:Y
如出現上述顯示則表示第二階段協商成功,IPSec VPN建立成功
3.4.2遠端路由器驗證

poYBAGQBofeALZ_mAACWfcPuq3w602.png
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 防火墻
    +關注

    關注

    0

    文章

    418

    瀏覽量

    35641
  • VPN
    VPN
    +關注

    關注

    4

    文章

    294

    瀏覽量

    29768
  • CISCO
    +關注

    關注

    1

    文章

    65

    瀏覽量

    24677
  • 工業路由器
    +關注

    關注

    2

    文章

    416

    瀏覽量

    14599
收藏 人收藏

    評論

    相關推薦

    防火墻和web應用防火墻詳細介紹

    防火墻和Web應用防火墻是兩種不同的網絡安全工具,它們在多個方面存在顯著的區別,同時也在各自的領域內發揮著重要的作用,主機推薦小編為您整理發布云防火墻和web應用防火墻
    的頭像 發表于 12-19 10:14 ?97次閱讀

    云服務防火墻設置方法

    云服務防火墻的設置方法通常包括:第一步:登錄控制臺,第二步:配置安全組規則,第三步:添加和編輯規則,第四步:啟用或停用規則,第五步:保存并應用配置。云服務
    的頭像 發表于 11-05 09:34 ?189次閱讀

    硬件防火墻和軟件防火墻區別

    電子發燒友網站提供《硬件防火墻和軟件防火墻區別.doc》資料免費下載
    發表于 10-21 11:03 ?1次下載

    物通博聯工業智能網關實現防火墻配置及應用

    增強工業網絡的安全性與防護能力。 以下介紹物通博聯工業智能網關WG585配置防火墻功能的操作,通過編寫ACL訪問控制列表,過濾掉來自某個主機IP的報文。 主機IP地址: 網關WAN口I
    的頭像 發表于 09-14 17:11 ?356次閱讀
    物通博聯<b class='flag-5'>工業</b>智能網關實現<b class='flag-5'>防火墻</b><b class='flag-5'>配置</b>及應用

    InRouter與Cisco Router構建L2tp VPN的方法

    1. 概述本文檔主要講述了關于映翰通InRouter路由器不中心端Cisco Router(支持VPN)構建L2TP VPN的方法。InRo
    發表于 07-26 08:25

    IR700與SSG5防火墻如何建立VPN模板?

    參數 本地標識:inhand@inhand.com對端標識:zhongxin@inhand.com共享密鑰是1234563 無線路由器建立IPSec vpn的成功標識 4 無線路由器
    發表于 07-26 08:12

    深信服防火墻和IR700建立IPSec VPN配置說明

    深信服防火墻和IR700建立IPSec VPN 配置說明本文檔針對深信服防火墻 的常規使用以及與無線路由
    發表于 07-26 07:43

    IPSecVPN + PPTP VPN Demo搭建配置說明

    219.232.192.xxx防火墻自動將數據轉發到CiscoRV042; 3、 CiscoRV042 為VPN 路由器 ,WAN (Internet)接口為 192.168.100.36,LAN接口為172.16.0.0/24
    發表于 07-26 06:01

    InRouter與Juniper SRX如何建立IPSec隧道配置

    公網IP,防火墻WAN接口(Unturst接口)接入互聯網,LAN(Trust接口為企業內網)。LTE 4G 無線路由器與Juniper SRX防火墻建立IPSec
    發表于 07-25 07:32

    兩臺IR615和華為USG6335E建立IPsecVPN的過程

    華為防火墻作為中心網關,兩臺IR615路由器作為分支節點,與中心網關建立IPSecVPN隧道,對中心網關子網(10.168.1.0/24)和路由器IR615-1的子網(10.168.2
    發表于 07-24 07:20

    IR915與AF1000建立IPSecVPN配置的過程

    防火墻與IR915之間建立一個安全隧道,對客戶路由器端設備子網(192.168.33.0/24),與防火墻端服務子網(172.16.99.0/24)之間的數據流進行安全保護。安全協
    發表于 07-24 07:02

    工業路由器:輕松告別繁瑣的網絡配置

    工業路由器專為工業環境設計,具備高性能、大容量內存、高速傳輸速率,支持遠程管理、動態路由防火墻功能等,安裝簡便,用戶界面友好,提供加密通
    的頭像 發表于 05-14 17:27 ?369次閱讀

    常見的工業路由器訪問問題

    本文介紹了工業路由器PPTP設置、SIM卡無網、外網IP地址、IP配置無網絡、防火墻設置VPN訪問二級
    的頭像 發表于 04-25 20:52 ?381次閱讀
    常見的<b class='flag-5'>工業</b><b class='flag-5'>路由器</b>訪問問題

    工業防火墻是什么?工業防火墻主要用在哪里?

    工業防火墻是一種專為工業控制系統(Industrial Control Systems, ICS)設計的網絡安全設備,它結合了硬件與軟件技術,用以保護工業生產環境中的關鍵基礎設施免受網
    的頭像 發表于 03-26 15:35 ?1348次閱讀

    你真知道交換機、路由器防火墻的區別嗎?

    你真知道交換機、路由器防火墻的區別嗎? 交換機、路由器防火墻是計算機網絡中常見的三種設備,它們各自起到不同的作用以提供網絡連接、數據轉發和安全保護。下面將詳細介紹交換機、
    的頭像 發表于 02-04 11:17 ?2282次閱讀
    主站蜘蛛池模板: 午夜影院美女| 极品少妇高潮啪啪AV无码吴梦梦| 久久成人免费大片| 欧美日韩高清一区二区三区| 亚洲色播永久网址大全| 久久成人免费观看全部免费| 97综合久久| 思思99精品国产自在现线| 嗨嗨快播电影| 99热在线免费播放| 妺妺窝人体色WWW偷窥女厕| xxxx俄罗斯1819| 午夜在线播放免费人成无| 久久99精国产一区二区三区四区| 最新 国产 精品 精品 视频| 欧美激情久久久久久久大片| 俄罗斯1819y0u| 亚洲一区在线观看视频| 欧美内射深插日本少妇| 国产人妖一区二区| 99久久国产视频| 无码日本亚洲一区久久精品| 国产全部视频列表支持手机| 中文字幕乱码一区久久麻豆樱花| 青青草A在在观免费线观看| 国产一区在线观看免费| jjzz动漫| 伊人网伊人网| 麻豆啊传媒app黄版破解免费| 观赏女性排尿| 校园男男高h小黄文| 男人把女人桶到高潮嗷嗷叫| 国产露脸无码A区久久| CHINSEFUCKGAY无套| 亚洲天堂视频网站| 上课失禁丨vk| 免费视频国产| 久久 这里只精品 免费| 国产精品久久久久久久久免费下载 | 国产精品久久久久久久久齐齐| 真实农村女人野外自拍照片|