溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
通過博文CIsco路由器實現IPSec 虛擬專用網原理及配置詳解已經初步了解IPSec 虛擬專用網的原理以及如何在Cisco的路由器上實現IPSec 虛擬專用網技術。千萬不要以為在CIsco路由器可以實現IPSec 虛擬專用網,在CIsco ASA防火墻也可以實現,雖然原理是一致的,但是其配置過程,稍微有一些不同。下面主要講解一下如何在Cisco ASA 防火墻上實現IPSec 虛擬專用網。
博文大綱:
一、案例拓補;
二、案例需求;
三、案例實施;
四、Cisco防火墻與Cisco路由器的區別;
五、IPSec 虛擬專用網故障排查;
1.PC1使用IPSec 虛擬專用網訪問PC3;
2.PC1可以telnetPC2;
ASA(config)# int e0/0
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
//Cisco ASA防火墻inside區域默認優先級為100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
//Cisco ASA防火墻outside區域默認優先級為0
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0 0 100.1.1.2
//配置默認路由
ASA(config)# nat-control
//表示通過ASA防火墻的數據包都必須使用NAT地址轉換技術
ASA(config)# nat (inside) 1 0 0
ASA(config)# global (outside) 1 int
INFO: outside interface address added to PAT pool
//將內部所有地址轉換為外部接口地址,啟用PAT的意思虛擬專用網和NAT之間存在一定的沖突,若希望既可以訪問互聯網又可以訪問虛擬專用網,就需要配置NAT豁免,讓訪問虛擬專用網的流量不做NAT轉換。
ASA(config)# access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list nonat
//注意nat-id為0 表示使用NAT豁免,優先級最高在路由器上,默認已經啟用ISAKMP/IKE協議,但是在ASA防火墻默認并沒有啟用!需要使用以下命令啟用ISAKMP/IKE協議。
ASA(config)# crypto isakmp enable outside
//啟用ISAKMP/IKE協議ASA(config)# crypto isakmp policy 1
//配置ISAKMP/IKE策略,序列號為1,數值越小越優先
ASA(config-isakmp-policy)# encryption aes
//指定用于身份驗證采用aes加密算法(防火墻默認不可以使用des)
ASA(config-isakmp-policy)# hash sha
//驗證數據完整性使用sha算法
ASA(config-isakmp-policy)# authentication pre-share
//設備驗證方式采用預共享密鑰
ASA(config-isakmp-policy)# group 1
//指定DH密鑰組ASA(config)# crypto isakmp key 123456 address 200.1.1.2
//指定對等體為200.1.1.2,密鑰是123456IOS7.0版本以上的防火墻一般使用隧道組來配置密鑰
其實呢,配置NAT豁免的ACL就可以使用!僅限于本博文的拓補情況。
ASA(config)# crypto ipsec transform-set ASA-set esp-aes esp-sha-hmac
//防火墻加密驗證必須使用esp,不可使用AH驗證這里的配置命令與路由器稍微有些不同!命令如下:
ASA(config)# crypto map ASA-map 1 match address nonat
//創建Crypto-Map,名稱為ASA-map,序列號為1,調用名稱為nonat的ACL
ASA(config)# crypto map ASA-map 1 set peer 200.1.1.2
//ASA-map對應的對等體為200.1.1.2
ASA(config)# crypto map ASA-map 1 set transform-set ASA-set
//ASA-map調用剛才定義的傳輸集(ASA-set)ASA(config)# crypto map ASA-map int outside到這里防火墻的配置基本已經完成!
R1(config)#int f1/0
R1(config-if)#ip add 100.1.1.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/0
R1(config-if)#ip add 11.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f2/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#no sh
//僅配置IP地址即可!R2(config)#int f2/0
R2(config-if)#ip add 200.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no sh
R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
//配置一條默認路由
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption aes
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 1
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 123456 address 100.1.1.1
//必須保證算法、驗證方式、共享密鑰、DH密鑰組號與防火墻設置一致
R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
//設置ACL
R2(config)#crypto ipsec transform-set R2-set esp-aes esp-sha-hmac
//與防火墻使用同樣的驗證方式
R2(config)#crypto map R2-map 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R2(config-crypto-map)#set peer 100.1.1.1
R2(config-crypto-map)#set transform-set R2-set
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#int f2/0
R2(config-if)#crypto map R2-map
//創建map、設置共同體、定義傳輸方式、調用ACL,最后應用外部接口上
//這就不進行詳細介紹了!PC1的配置:
PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.100 255.255.255.0
PC1(config-if)#no sh
PC1(config-if)#exit
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
//配置IP地址及默認路由PC2的配置:
PC2(config)#int f0/0
PC2(config-if)#ip add 11.1.1.100 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.1
PC2(config)#line vty 0 4
PC2(config-line)#pass 123456
PC2(config-line)#login
//配置默認路由,并啟用TelnetPC3的配置:
PC3(config)#int f0/0
PC3(config-if)#ip add 192.168.2.100 255.255.255.0
PC3(config-if)#no sh
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
//配置IP地址及默認路由PC1上進行驗證:
PC1#telnet 11.1.1.100
Trying 11.1.1.100 ... Open
User Access Verification
Password:
PC2>
//telnet登錄成功!PC1#ping 192.168.2.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/75/112 ms
//PC1使用虛擬專用網與PC3進行通信由于,防火墻由于自身的IOS的原因,在配置命令方面與路由器有一定的區別,但是并不是很明顯!
在建立管理連接的過程中,Cisco ASA防火墻和路由器默認情況下使用的參數不同。
Cisco ASA防火墻使用的默認參數如下:
ASA(config)# show run crypto //查看管理連接默認參數
……………… //省略部分內容
crypto isakmp policy 65535
authentication pre-share
encryption 3des //加密算法為3des
hash sha
group 2 //默認使用DH組2
lifetime 86400Cisco路由器使用的默認參數如下:
R2#show crypto isakmp policy //查看管理連接默認參數
……………… //省略部分內容
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys). //加密算法為des
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit) //默認使用DH組1
lifetime: 86400 seconds, no volume limit在數據連接建立過程中,ASA防火墻只支持ESP協議。因此,如果路由器使用AH實現數據驗證功能,將無法與ASA成功建立數據連接。
默認情況下,IKE協商在路由器中是開啟的;而在ASA防火墻中是關閉。因此,在ASA防火墻中必須使用命令“crypto isakmp enable outside”開啟IKE協商。
嚴格意義上說,這并不能算是防火墻和路由器的配置差異,而是防火墻從6.x版本升級到7.0版本引入的特性,它主要用于簡化IPSec會話的配置和管理。而且路由器配置共享密鑰key的命令,ASA防火墻默認也支持。
防火墻存在一種限制,如果流量從一個接口進入,就不能從相同安全級別的端口流出。流量不能在同一安全級別的端口之間傳輸,這主要是從安全方面考慮而設定的一種特性。但是會對IPSec流量造成一定的影響。如果在現實環境中,碰到的這種情況,可以使用以下命令:
ASA(config)# same-security-traffic permit intra-interface
//允許流量進入和離開同一個接口(默認是禁止)
ASA(config)# same-security-traffic permit inter-interface
//允許流量通過具有相同安全級別的兩個不同的接口注意:ASA防火墻默認放行一切虛擬專用網的流量!
常用的命令有:
通過命令可以了解管理連接所處的狀態(這里主要介紹主模式)!常見的狀態,如圖:
如果希望了解整個過程,就可以使用這個命令,這個命令是實際工作中最常用于診斷和排查管理連接出現問題的命令。
———————— 本文至此結束,感謝閱讀 ————————
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
