欢迎来到天天文库
浏览记录
ID:22016443
大小:8.70 MB
页数:795页
时间:2018-10-26
《asa vpn配置完整版》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、ASAVPN配置完整版目录简述3隧道技术(Tunnel)5GRE(GenericRoutingEncapsulation)8概述8配置GRE11GREkeepalive27配置GREkeepalive28加密技术41加密算法41HMAC(HashedMessageAuthenticationCode)44IPsec(IPSecurity)45概述45IKE(InternetKeyExchange)47SA(SecurityAssociation)50IKEPhaseOne52IKEPhaseTwo53IPsecMode54ESP(EncapsulatingSecurityProt
2、ocol)58AH(AuthenticationHeader)60TransformSet62CryptoMap62隧道分离(SplitTunneling)63IPsecLAN-to-LANVPN(LAN-to-LANVPN)63概述63Router-to-RouterLAN-to-LANVPN66Router-to-PIXLAN-to-LANVPN93Router-to-ASALAN-to-LANVPN116IPsecDynamicLAN-to-LANVPN(DyVPN)138概述138Router-to-RouterDynamicLAN-to-LANVPN141Router-
3、to-PIXDynamicLAN-to-LANVPN180Router-to-ASADynamicLAN-to-LANVPN182Point-to-Point(p2p)GREoverIPsec185概述185Staticp2pGREoverIPsec189Dynamicp2pGREoverIPsec230第795页共795页DynamicMultipointVPN(DMVPN)256概述256multipointGRE(mGRE)257NextHopResolutionProtocol(NHRP)260配置DMVPN267IPsecVPNFeature320IPsecDeadPe
4、erDetection(IPsecDPD)320IPsecSAIdleTimer351IPsecPreferredPeer373Reverserouteinjection(RRI)393IPsecVPNHighAvailability410StatefulFailoverforIPsec445NATTraversal(NAT-T)484EasyVPN(EzVPN)520概述520EzVPNoverRouter525EzVPNoverPIX562EzVPNoverASA587SSLVPN(WebVPN)615概述615SSLVPNoverRouter619SSLVPNoverASA
5、661PPTPVPN695概述695PPTPVPNoverRouter697PPTPVPNoverPIX739L2TPVPN760概述760L2TPVPNoverRouter762L2TPoverIPseconPIX788L2TPoverIPseconASA817第795页共795页简述当不同的远程网络通过Internet连接时,比如上海和北京的两个分公司通过Internet连接时,网络之间的互访将会出现一些局限性,如下拓朴所示:在上图中,由于上海和北京的两个分公司内部网络分别使用了私有IP网段10.1.1.0和192.168.1.0,而私有IP网段是不能传递到Internet上
6、进行路由的,所以两个分公司无法直接通过私网地址10.1.1.0和192.168.1.0互访,如R2无法直接通过访问私网地址192.168.1.4来访问R4。在正常情况下,上图中两个分公司要互访,可以在连接Internet的边界路由器上配置NAT来将私网地址转换为公网地址,从而实现两个私有网络的互访。但是在某些特殊需求下,两个分公司需要直接通过对方私有地址来访问对方网络,而不希望通过NAT映射后的地址来访问,比如银行的业务系统,某银行在全国都有分行,而所有的分行都需要访问总行的业务主机系统,但这些业务主机地址并不希望被NAT转换成公网地址,因为银行的主机不可能愿意暴露在公网之中,所
7、以分行都需要直接通过私网地址访问总行业务主机;在此类需求的网络环境中,我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。 第795页共795页 请再看如下拓朴的网络环境:在上图的网络环境中,上海与北京两个分公司网络通过路由器直接互连,虽然两个公司的网络都是私有网段,但是两个网络是直连的,比如上海分公司的数据从本地路由器发出后,数据包直接就丢到了北京分公司的路由器,中间并没有经过任何第三方网络和设备,所以两个分公司直接通过对方私有地址互访没有任何
此文档下载收益归作者所有