CiscoASA防火墻實(shí)現(xiàn)IPSec虛擬專用網(wǎng)，可跟做！-創(chuàng)新互聯(lián)

通過(guò)博文CIsco路由器實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)原理及配置詳解已經(jīng)初步了解IPSec 虛擬專用網(wǎng)的原理以及如何在Cisco的路由器上實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)技術(shù)。千萬(wàn)不要以為在CIsco路由器可以實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)，在CIsco ASA防火墻也可以實(shí)現(xiàn)，雖然原理是一致的，但是其配置過(guò)程，稍微有一些不同。下面主要講解一下如何在Cisco ASA 防火墻上實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)。

成都創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)察哈爾右翼后,十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

博文大綱：
一、案例拓補(bǔ)；
二、案例需求；
三、案例實(shí)施；
四、Cisco防火墻與Cisco路由器的區(qū)別；
五、IPSec 虛擬專用網(wǎng)故障排查；

一、案例拓補(bǔ)

二、案例需求

1.PC1使用IPSec 虛擬專用網(wǎng)訪問(wèn)PC3；
2.PC1可以telnetPC2；

三、案例實(shí)施

1）ASA防火墻的基本設(shè)置

ASA(config)# int e0/0
ASA(config-if)# nameif inside 
INFO: Security level for "inside" set to 100 by default.
//Cisco ASA防火墻inside區(qū)域默認(rèn)優(yōu)先級(jí)為100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
//Cisco ASA防火墻outside區(qū)域默認(rèn)優(yōu)先級(jí)為0
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0 0 100.1.1.2
//配置默認(rèn)路由
ASA(config)# nat-control                
//表示通過(guò)ASA防火墻的數(shù)據(jù)包都必須使用NAT地址轉(zhuǎn)換技術(shù)
ASA(config)# nat (inside) 1 0 0
ASA(config)# global (outside) 1 int
INFO: outside interface address added to PAT pool
//將內(nèi)部所有地址轉(zhuǎn)換為外部接口地址，啟用PAT的意思

2）配置NAT豁免（帶ACL的nat 0）

虛擬專用網(wǎng)和NAT之間存在一定的沖突，若希望既可以訪問(wèn)互聯(lián)網(wǎng)又可以訪問(wèn)虛擬專用網(wǎng)，就需要配置NAT豁免，讓訪問(wèn)虛擬專用網(wǎng)的流量不做NAT轉(zhuǎn)換。

ASA(config)# access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list nonat
//注意nat-id為0 表示使用NAT豁免，優(yōu)先級(jí)高

3）建立ISAKMP

在路由器上，默認(rèn)已經(jīng)啟用ISAKMP/IKE協(xié)議，但是在ASA防火墻默認(rèn)并沒(méi)有啟用！需要使用以下命令啟用ISAKMP/IKE協(xié)議。

ASA(config)# crypto isakmp enable outside
//啟用ISAKMP/IKE協(xié)議

4）配置管理連接策略

ASA(config)# crypto isakmp policy 1
//配置ISAKMP/IKE策略，序列號(hào)為1，數(shù)值越小越優(yōu)先
ASA(config-isakmp-policy)# encryption aes
//指定用于身份驗(yàn)證采用aes加密算法（防火墻默認(rèn)不可以使用des）
ASA(config-isakmp-policy)# hash sha
//驗(yàn)證數(shù)據(jù)完整性使用sha算法
ASA(config-isakmp-policy)# authentication pre-share 
//設(shè)備驗(yàn)證方式采用預(yù)共享密鑰
ASA(config-isakmp-policy)# group 1
//指定DH密鑰組

5）配置預(yù)共享密鑰

ASA(config)# crypto isakmp key 123456 address 200.1.1.2
//指定對(duì)等體為200.1.1.2，密鑰是123456

IOS7.0版本以上的防火墻一般使用隧道組來(lái)配置密鑰

6）配置Crypto ACL

其實(shí)呢，配置NAT豁免的ACL就可以使用！僅限于本博文的拓補(bǔ)情況。

7）配置傳輸集

ASA(config)# crypto ipsec transform-set ASA-set esp-aes esp-sha-hmac 
//防火墻加密驗(yàn)證必須使用esp，不可使用AH驗(yàn)證

8）配置Crypto MAP

這里的配置命令與路由器稍微有些不同！命令如下：

ASA(config)# crypto map ASA-map 1 match address nonat
//創(chuàng)建Crypto-Map，名稱為ASA-map，序列號(hào)為1，調(diào)用名稱為nonat的ACL
ASA(config)# crypto map ASA-map 1 set peer 200.1.1.2      
//ASA-map對(duì)應(yīng)的對(duì)等體為200.1.1.2
ASA(config)# crypto map ASA-map 1 set transform-set ASA-set
//ASA-map調(diào)用剛才定義的傳輸集（ASA-set）

9）將Crypto map應(yīng)用到outside接口上

ASA(config)# crypto map ASA-map int outside

到這里防火墻的配置基本已經(jīng)完成！

10）R1路由的設(shè)置

R1(config)#int f1/0
R1(config-if)#ip add 100.1.1.2 255.255.255.0
R1(config-if)#no sh 
R1(config-if)#int f0/0
R1(config-if)#ip add 11.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f2/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#no sh
//僅配置IP地址即可！

11） R2路由的配置

R2(config)#int f2/0
R2(config-if)#ip add 200.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no sh 
R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
//配置一條默認(rèn)路由
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption aes
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share 
R2(config-isakmp)#group 1
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 123456 address 100.1.1.1
//必須保證算法、驗(yàn)證方式、共享密鑰、DH密鑰組號(hào)與防火墻設(shè)置一致
R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
//設(shè)置ACL
R2(config)#crypto ipsec transform-set R2-set esp-aes esp-sha-hmac 
//與防火墻使用同樣的驗(yàn)證方式
R2(config)#crypto map R2-map 1 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R2(config-crypto-map)#set peer 100.1.1.1
R2(config-crypto-map)#set transform-set R2-set
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#int f2/0
R2(config-if)#crypto map R2-map
//創(chuàng)建map、設(shè)置共同體、定義傳輸方式、調(diào)用ACL，最后應(yīng)用外部接口上
//這就不進(jìn)行詳細(xì)介紹了！

12）PC的配置

PC1的配置：

PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.100 255.255.255.0
PC1(config-if)#no sh
PC1(config-if)#exit
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
//配置IP地址及默認(rèn)路由

PC2的配置：

PC2(config)#int f0/0
PC2(config-if)#ip add 11.1.1.100 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.1
PC2(config)#line vty 0 4
PC2(config-line)#pass 123456
PC2(config-line)#login
//配置默認(rèn)路由，并啟用Telnet

PC3的配置：

PC3(config)#int f0/0 
PC3(config-if)#ip add 192.168.2.100 255.255.255.0
PC3(config-if)#no sh
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
//配置IP地址及默認(rèn)路由

13）驗(yàn)證

PC1上進(jìn)行驗(yàn)證：

PC1#telnet 11.1.1.100
Trying 11.1.1.100 ... Open

User Access Verification

Password: 
PC2>
//telnet登錄成功！

PC1#ping 192.168.2.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/75/112 ms
//PC1使用虛擬專用網(wǎng)與PC3進(jìn)行通信

四、Cisco防火墻與Cisco路由器的區(qū)別

由于，防火墻由于自身的IOS的原因，在配置命令方面與路由器有一定的區(qū)別，但是并不是很明顯！

1）默認(rèn)配置的區(qū)別

在建立管理連接的過(guò)程中，Cisco ASA防火墻和路由器默認(rèn)情況下使用的參數(shù)不同。

Cisco ASA防火墻使用的默認(rèn)參數(shù)如下：

ASA(config)# show run crypto                  //查看管理連接默認(rèn)參數(shù)
………………              //省略部分內(nèi)容
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des                  //加密算法為3des
 hash sha
 group 2                           //默認(rèn)使用DH組2
 lifetime 86400

Cisco路由器使用的默認(rèn)參數(shù)如下：

R2#show crypto isakmp policy                         //查看管理連接默認(rèn)參數(shù)
………………              //省略部分內(nèi)容
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).          //加密算法為des
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)                 //默認(rèn)使用DH組1
        lifetime:               86400 seconds, no volume limit

在數(shù)據(jù)連接建立過(guò)程中，ASA防火墻只支持ESP協(xié)議。因此，如果路由器使用AH實(shí)現(xiàn)數(shù)據(jù)驗(yàn)證功能，將無(wú)法與ASA成功建立數(shù)據(jù)連接。

2）IKE協(xié)商默認(rèn)是否開(kāi)啟

默認(rèn)情況下，IKE協(xié)商在路由器中是開(kāi)啟的；而在ASA防火墻中是關(guān)閉。因此，在ASA防火墻中必須使用命令“crypto isakmp enable outside”開(kāi)啟IKE協(xié)商。

3）隧道模式特性的引入

嚴(yán)格意義上說(shuō)，這并不能算是防火墻和路由器的配置差異，而是防火墻從6.x版本升級(jí)到7.0版本引入的特性，它主要用于簡(jiǎn)化IPSec會(huì)話的配置和管理。而且路由器配置共享密鑰key的命令，ASA防火墻默認(rèn)也支持。

4）接口安全級(jí)別對(duì)于IPSec流量的影響

防火墻存在一種限制，如果流量從一個(gè)接口進(jìn)入，就不能從相同安全級(jí)別的端口流出。流量不能在同一安全級(jí)別的端口之間傳輸，這主要是從安全方面考慮而設(shè)定的一種特性。但是會(huì)對(duì)IPSec流量造成一定的影響。如果在現(xiàn)實(shí)環(huán)境中，碰到的這種情況，可以使用以下命令：

ASA(config)# same-security-traffic permit intra-interface 
//允許流量進(jìn)入和離開(kāi)同一個(gè)接口（默認(rèn)是禁止）
ASA(config)# same-security-traffic permit inter-interface 
//允許流量通過(guò)具有相同安全級(jí)別的兩個(gè)不同的接口

注意：ASA防火墻默認(rèn)放行一切虛擬專用網(wǎng)的流量！

五、IPSec 虛擬專用網(wǎng)故障排查

常用的命令有：

1）show crypto isakmp sa命令

通過(guò)命令可以了解管理連接所處的狀態(tài)（這里主要介紹主模式）！常見(jiàn)的狀態(tài)，如圖：

2）debug crypto isakmp 命令

如果希望了解整個(gè)過(guò)程，就可以使用這個(gè)命令，這個(gè)命令是實(shí)際工作中最常用于診斷和排查管理連接出現(xiàn)問(wèn)題的命令。

———————— 本文至此結(jié)束，感謝閱讀 ————————

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

文章名稱：CiscoASA防火墻實(shí)現(xiàn)IPSec虛擬專用網(wǎng)，可跟做！-創(chuàng)新互聯(lián)
URL地址：http://muchs.cn/article22/pdejc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開(kāi)發(fā)、靜態(tài)網(wǎng)站、面包屑導(dǎo)航、網(wǎng)站內(nèi)鏈、網(wǎng)站建設(shè)、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)