文档章节

在Cisco的ASA防火墙上实现IPSec虚拟专用网

o
 osc_wws45aot
发布于 2019/08/20 15:35
字数 2869
阅读 21
收藏 0

精选30+云产品,助力企业轻松上云!>>>

  前言:

  之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下。

  注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替

  关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介绍的差不多了,在防火墙和路由器上实现虚拟专用网,原理差不多,所以这里就不啰嗦了,直接上配置。

  网络环境如下:

  

在Cisco的ASA防火墙上实现IPSec虚拟专用网

 

  一、网络环境需求

  1、需要在总公司和各个分公司的网关ASA上建立IPSec虚拟专用网,实现总公司和分公司的某个网段(一般是只有某个部门有互通的必要性)互通。

  2、两个分公司之间也需要配置虚拟专用网实现互通,并且是通过总公司的网关ASA的outside区域的E0/1实现互通的(当然,也可以绕过总公司的ASA防火墙,根据实际需求来定即可)。

  3、不但总公司与分公司之间需要有虚拟专用网,而且不要影响公司内部主机访问Internet(通过端口PAT来实现,配置完成后,Telnet登录R2路由器进行验证)。

  4、公司内部使用路由器来代替PC机进行测试,Internet的R2路由器除了配置IP地址外,不可配置任何路由条目。

  二、配置前准备

  (若直接在生产环境配置,并且配置了基本接口IP、路由等。则可以忽略配置前准备)

  1、我这里使用的是GNS3模拟器,自行搭建网络拓扑图,使用防火墙时,需要将接口类型改一下,如下(GNS3默认不带防火墙,需要自行载入,若需要帮助,可以私信我):

  

在Cisco的ASA防火墙上实现IPSec虚拟专用网

 

  2、自行配置接口IP地址以及路由条目,范例如下:

  '路由器配置接口IP及路由条目(R2除外,都需要配置默认路由,相当于它的网关)'

  R1#conf t

  Enter configuration commands, one per line. End with CNTL/Z.

  R1(config)#in f0/0

  R1(config-if)#ip add 192.168.1.1 255.255.255.0

  R1(config-if)#no sh

  R1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.254

  '防火墙ASA配置接口IP及路由条目:'

  ciscoasa> en

  Password: #默认没有密码,直接回车即可

  ciscoasa# conf t

  ciscoasa(config)# in e0/0

  ciscoasa(config-if)# nameif inside #需要先定义区域

  INFO: Security level for "inside" set to 100 by default.

  ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0

  ciscoasa(config-if)# no sh

  ciscoasa(config)# in e0/1

  ciscoasa(config-if)# nameif ouside

  INFO: Security level for "ouside" set to 0 by default.

  ciscoasa(config-if)# ip add 201.0.0.1 255.255.255.0

  ciscoasa(config-if)# no sh

  ciscoasa(config-if)# route ouside 0 0 201.0.0.2 #配置默认路由,下一跳指向互联网的R2路由器。

  三、配置虚拟专用网

  配置完接口IP及路由信息,即可跟着配置下面的虚拟专用网。

  1、配置总公司与分公司1之间的虚拟专用网:

  (1)总公司的ASA-1配置如下:

  ASA-1(config)# crypto isakmp enable outside #启用ISAKMP/IKE

  #'以下是配置ISAKMP策略(也就是管理连接的配置)'

  ASA-1(config)# crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高

  ASA-1(config-isakmp-policy)# authentication pre-share #声明设备认证方式为“预先共享密钥”

  ASA-1(config-isakmp-policy)# encryption aes #配置加密算法

  ASA-1(config-isakmp-policy)# hash md5 #hash命令指定验证过程中采用的散列算法

  ASA-1(config-isakmp-policy)# group 2 #采用DH算法的强度为group2

  ASA-1(config-isakmp-policy)# lifetime 10000 #可选,管理连接生存周期,默认为86400s(24小时)

  ASA-1(config-isakmp-policy)# crypto isakmp key 2019.com address 202.0.0.1 #配置“预先共享密钥”

  #'下面是数据连接配置'

  ASA-1(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

  #定义虚拟专用网保护的流量

  ASA-1(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac

  #数据连接协商参数,“test-set”是自定义的名称

  ASA-1(config)# crypto map test-map 1 match address lan1_lan2 #匹配的ACL

  ASA-1(config)# crypto map test-map 1 set peer 202.0.0.1 #虚拟专用网对端地址

  ASA-1(config)# crypto map test-map 1 set transform-set test-set #将数据连接关联刚才创建的传输集

  ASA-1(config)# crypto map test-map interface outside #将crypto map 应用到outside接口上。

  关于配置中的命令已经在上面全部体现出来了,接下来的大多数配置命令都可在上面找到相应的注释,所以下面我就不写注释了(体谅一下懒癌晚期患者)。

  (2)分公司1的ASA-2配置如下:

  ASA-2(config)# crypto isakmp enable outside

  ASA-2(config)# crypto isakmp policy 1

  ASA-2(config-isakmp-policy)# authentication pre-share

  ASA-2(config-isakmp-policy)# encryption aes

  ASA-2(config-isakmp-policy)# hash md5

  ASA-2(config-isakmp-policy)# group 2

  ASA-2(config-isakmp-policy)# lifetime 10000

  ASA-2(config-isakmp-policy)# crypto isakmp key 2019.com address 201.0.0.1

  ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

  ASA-2(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac

  ASA-2(config)# crypto map test-map 1 match address lan2_lan1

  ASA-2(config)# crypto map test-map 1 set peer 201.0.0.1

  ASA-2(config)# crypto map test-map 1 set transform-set test-set

  ASA-2(config)# crypto map test-map interface outside

  至此,总公司和分公司1的虚拟专用网就建立完成了,可以使用R3和R1进行ping测试,虚拟专用网建立连接需要时间,在路由及接口IP配置无误的情况下,ping个两三次才可ping通,如果ping了三五次都没ping通,多半是凉了,自行排错吧,通过show run命令查看哪里配置错了吧!

  2、配置总公司与分公司3之间的虚拟专用网:

  (1)总公司的ASA-1配置如下(关于管理连接的配置可以和总公司到分公司1的配置共用,可以说只要配置涉及了ACL及IP地址的命令改动下再配置一下就可以了):

  ASA-1(config)# crypto isakmp key 2020.com address 203.0.0.1

  ASA-1(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

  ASA-1(config)# crypto map test-map 2 match address lan1_lan3

  WARNING: The crypto map entry is incomplete!

  ASA-1(config)# crypto map test-map 2 set peer 203.0.0.1

  WARNING: The crypto map entry is incomplete!

  ASA-1(config)# crypto map test-map 2 set transform-set test-set

  (2)分公司2的ASA-3配置如下:

  ASA-3(config)# crypto isakmp enable outside

  ASA-3(config)# crypto isakmp policy 1

  ASA-3(config-isakmp-policy)# authentication pre-share

  ASA-3(config-isakmp-policy)# encryption aes

  ASA-3(config-isakmp-policy)# hash md5

  ASA-3(config-isakmp-policy)# group 2

  ASA-3(config-isakmp-policy)# lifetime 10000

  ASA-3(config-isakmp-policy)# crypto isakmp key 2020.com address 201.0.0.1

  ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0

  ASA-3(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac

  ASA-3(config)# crypto map test-map 1 match address lan3_lan1

  ASA-3(config)# crypto map test-map 1 set peer 201.0.0.1

  ASA-3(config)# crypto map test-map 1 set transform-set test-set

  ASA-3(config)# crypto map test-map interface outside

  配置至此,分公司2的R4路由器就可以ping通总公司的R1路由器了。

  3、配置分公司2和分公司3的虚拟专用网(其实就是配置几条ACL即可):

  #'总公司的ASA-1配置如下:'

  ASA-1(config)# same-security-traffic permit intra-interface #允许流量进入和离开同一个接口,默认是禁止

  ASA-1(config)# access-list lan1_lan2 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0

  ASA-1(config)# access-list lan1_lan3 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0

  #'分公司1的ASA-2配置如下:'

  ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0

  #'分公司2的ASA-3配置如下:'

  ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0

  至此,总公司、分公司1和分公司2之间的虚拟专用网就建立成功了。其中需要注意的是,分公司1和分公司2之间的虚拟专用网的建立是基于总公司的防火墙的,一旦总公司的防火墙出现故障,那么分公司1和分公司2之间的虚拟专用网也就不复存在了。也可以选择分公司1和分公司2之间直接建立虚拟专用网,它们之间的流量不再经过总公司的防火墙,这个可以根据实际情况来定即可。

  那么,被虚拟专用网保护的流量,如何访问互联网资源呢?现在就通过PAT来实现。让每个公司内部的主机,既可以通过虚拟专用网访问到另一个公司的内部资源,也可以使每个公司内部的主机可以访问到互联网资源。

  注:我查到的资料上看到,需要启用NAT控制,并且豁免虚拟专用网流量,但是,我测试发现完全不需要,直接在ASA上做了PAT端口映射即可实现想要的效果,原本想再验证下我的想法,但是网络环境已经被我关闭了,算了,有兴趣的话自行验证吧。

  4、配置各个防火墙上的PAT端口映射:

  总公司防火墙配置:

  ASA-1(config)# nat-control

  ASA-1(config)# nat (inside) 1 0 0

  ASA-1(config)# global (outside) 1 interface

  INFO: outside interface address added to PAT pool

  ASA-1(config)# access-list vpm permit ip 192.168.1.0 255.255.255.0 192.168.2.0$

  ASA-1(config)# access-list vpm permit ip 192.168.1.0 255.255.255.0 192.168.3.$

  ASA-1(config)# nat (inside) 0 access-list vpm

  分公司1防火墙配置:

  ASA-2(config)# nat-control

  ASA-2(config)# nat (inside) 1 0 0

  ASA-2(config)# global (outside) 1 interface

  INFO: outside interface address added to PAT pool

  ASA-2(config)# nat (inside) 0 access-list lan2_lan1

  分公司2防火墙配置:

  ASA-3(config)# nat-control

  ASA-3(config)# nat (inside) 1 0 0

  ASA-3(config)# global (outside) 1 interface

  INFO: outside interface address added to PAT pool

  ASA-3(config)# nat (inside) 0 access-list lan3_lan1

  5、启用Internet中的R2路由器的Telnet功能,以便公司内部进行访问测试:

  R2(config)#line vty 0 4

  R2(config-line)#password 123

  R2(config-line)#login

  R2(config-line)#exit

  R2(config)#enable secret 123456

  6、验证(在验证过程中,发现会ping一两次才会完全ping通,刚开始会不通或丢包,属于正常现象,因为虚拟专用网建立连接也是需要时间的):

  

在Cisco的ASA防火墙上实现IPSec虚拟专用网

 郑州不孕不育医院:http://jbk.39.net/yiyuanzaixian/zztjyy/郑州不孕不育医院哪家好:http://jbk.39.net/yiyuanzaixian/zztjyy/郑州不孕不育医院排行:http://jbk.39.net/yiyuanzaixian/zztjyy/

 

  四、总结

  1、在数据连接建立过程中,ASA防火墙只支持ESP协议,因此,如果对端是路由器,使用了AH协议实现数据验证功能,将无法与ASA成功地建立数据连接。

  2、IKE协商在路由器上是默认开启的,但是在ASA上模式是关闭的,需要使用命令“ crypto isakmp enable outside”开启。

  3、ASA上配置预共享密钥时,一般使用隧道组来配置密钥,隧道组配置密钥的过程将在下面文章末尾写出来,我在上面使用的配置方法,是和路由器上一样的配置方法,ASA会自动识别,并自动改为隧道组配置。

  4、防火墙存在一种这样一个限制,就是流量从一个接口进入,就不能从相同安全级别的端口流出。当然也不可以进入和离开同一个接口,可以使用命令“ same-security-traffic permit intra-interface”,在上面的配置中,配置分公司1和分公司2时,由于流量需要进入和离开总公司的e0/1接口,所以在总公司的防火墙上配置了这条命令。

  5、ASA默认放行一切虚拟专用网的流量,因为虚拟专用网的流量本来就是安全的,所以ASA为其开绿灯。

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。
如何在ASA防火墙上实现ipsec ***

如何在ASA防火墙上实现ipsec *** 2017-05-30 22:10:51 防火墙 ASA 实现 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://...

李伟铭k
2018/07/09
0
0
如何在ASA防火墙上实现ipsec ***

如何在ASA防火墙上实现ipsec *** 2017-05-30 22:10:51 防火墙 ASA 实现 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://...

吴梦涵
2018/07/09
0
0
在ASA防火墙上实现IPSec VPN

在ASA防火墙配置IPSec VPN与路由器的差别不是很大,而且原理相同。VPN工作原理参照上一篇,这里就不在赘述了。 实验案例 某软件开发公司为了降低人员成本,在中小城市建立了分支公司,但是分...

杨书凡
2018/04/17
0
0
在ASA防火墙上实现IPSec ***

在ASA防火墙配置IPSec *与路由器的差别不是很大,而且原理相同。*工作原理参照上一篇,这里就不在赘述了。 实验案例 某软件开发公司为了降低人员成本,在中小城市建立了分支公司,但是分支公...

杨书凡
2018/04/17
0
0
如何远程访问***之easy ***

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 前言:前面已经详细介绍了L2L ipsec *,本章将深入探讨远程访问的...

Mr大表哥
2018/06/28
0
0

没有更多内容

加载失败,请刷新页面

加载更多

如何在控制器中使用过滤器? - How to use a filter in a controller?

问题: I have written a filter function which will return data based on the argument you are passing. 我编写了一个过滤函数,它将根据您传递的参数返回数据。 I want the same functi......

富含淀粉
25分钟前
20
0
android:layout_weight是什么意思? - What does android:layout_weight mean?

问题: I don't understand how to use this attribute. 我不明白如何使用这个属性。 Can anyone tell me more about it? 谁能告诉我更多关于它的事情? 解决方案: 参考一: https://stacko...

javail
55分钟前
17
0
CSS背景不透明度[重复] - CSS Background Opacity [duplicate]

问题: This question already has an answer here: 这个问题已经在这里有了答案: How do I give text or an image a transparent background using CSS? 如何使用CSS为文本或图像提供透明背...

fyin1314
今天
17
0
node http 获取gb2312网页如何转为utf8

最初,我想当然认为是下述做法,但被证明是错误的 const http = require('http'), iconv = require('iconv-lite');const url = 'http://xxx';http.get(url, function(res) { var bo......

高延
今天
24
0
动态规划:LC198.打家劫舍

题目描述: 你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统,如果两间相邻的房屋在同一晚上被小偷闯入...

曦鱼violet
今天
30
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部