中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Cisco ASA防火墻實現IPSec 虛擬專用網,可跟做!

發布時間:2020-03-03 21:37:37 來源:網絡 閱讀:19341 作者:筱振 欄目:安全技術

通過博文CIsco路由器實現IPSec 虛擬專用網原理及配置詳解已經初步了解IPSec 虛擬專用網的原理以及如何在Cisco的路由器上實現IPSec 虛擬專用網技術。千萬不要以為在CIsco路由器可以實現IPSec 虛擬專用網,在CIsco ASA防火墻也可以實現,雖然原理是一致的,但是其配置過程,稍微有一些不同。下面主要講解一下如何在Cisco ASA 防火墻上實現IPSec 虛擬專用網。

博文大綱:
一、案例拓補;
二、案例需求;
三、案例實施;
四、Cisco防火墻與Cisco路由器的區別;
五、IPSec 虛擬專用網故障排查;

一、案例拓補

Cisco ASA防火墻實現IPSec 虛擬專用網,可跟做!

二、案例需求

1.PC1使用IPSec 虛擬專用網訪問PC3;
2.PC1可以telnetPC2;

三、案例實施

1)ASA防火墻的基本設置
ASA(config)# int e0/0
ASA(config-if)# nameif inside 
INFO: Security level for "inside" set to 100 by default.
//Cisco ASA防火墻inside區域默認優先級為100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
//Cisco ASA防火墻outside區域默認優先級為0
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0 0 100.1.1.2
//配置默認路由
ASA(config)# nat-control                
//表示通過ASA防火墻的數據包都必須使用NAT地址轉換技術
ASA(config)# nat (inside) 1 0 0
ASA(config)# global (outside) 1 int
INFO: outside interface address added to PAT pool
//將內部所有地址轉換為外部接口地址,啟用PAT的意思
2)配置NAT豁免(帶ACL的nat 0)

虛擬專用網和NAT之間存在一定的沖突,若希望既可以訪問互聯網又可以訪問虛擬專用網,就需要配置NAT豁免,讓訪問虛擬專用網的流量不做NAT轉換。

ASA(config)# access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list nonat
//注意nat-id為0 表示使用NAT豁免,優先級最高
3)建立ISAKMP

在路由器上,默認已經啟用ISAKMP/IKE協議,但是在ASA防火墻默認并沒有啟用!需要使用以下命令啟用ISAKMP/IKE協議。

ASA(config)# crypto isakmp enable outside
//啟用ISAKMP/IKE協議
4)配置管理連接策略
ASA(config)# crypto isakmp policy 1
//配置ISAKMP/IKE策略,序列號為1,數值越小越優先
ASA(config-isakmp-policy)# encryption aes
//指定用于身份驗證采用aes加密算法(防火墻默認不可以使用des)
ASA(config-isakmp-policy)# hash sha
//驗證數據完整性使用sha算法
ASA(config-isakmp-policy)# authentication pre-share 
//設備驗證方式采用預共享密鑰
ASA(config-isakmp-policy)# group 1
//指定DH密鑰組
5)配置預共享密鑰
ASA(config)# crypto isakmp key 123456 address 200.1.1.2
//指定對等體為200.1.1.2,密鑰是123456

IOS7.0版本以上的防火墻一般使用隧道組來配置密鑰

6)配置Crypto ACL

其實呢,配置NAT豁免的ACL就可以使用!僅限于本博文的拓補情況。

7)配置傳輸集
ASA(config)# crypto ipsec transform-set ASA-set esp-aes esp-sha-hmac 
//防火墻加密驗證必須使用esp,不可使用AH驗證
8)配置Crypto MAP

這里的配置命令與路由器稍微有些不同!命令如下:

ASA(config)# crypto map ASA-map 1 match address nonat
//創建Crypto-Map,名稱為ASA-map,序列號為1,調用名稱為nonat的ACL
ASA(config)# crypto map ASA-map 1 set peer 200.1.1.2      
//ASA-map對應的對等體為200.1.1.2
ASA(config)# crypto map ASA-map 1 set transform-set ASA-set
//ASA-map調用剛才定義的傳輸集(ASA-set)
9)將Crypto map應用到outside接口上
ASA(config)# crypto map ASA-map int outside

到這里防火墻的配置基本已經完成!

10)R1路由的設置
R1(config)#int f1/0
R1(config-if)#ip add 100.1.1.2 255.255.255.0
R1(config-if)#no sh 
R1(config-if)#int f0/0
R1(config-if)#ip add 11.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f2/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#no sh
//僅配置IP地址即可!
11) R2路由的配置
R2(config)#int f2/0
R2(config-if)#ip add 200.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int f0/0
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no sh 
R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
//配置一條默認路由
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption aes
R2(config-isakmp)#hash sha
R2(config-isakmp)#authentication pre-share 
R2(config-isakmp)#group 1
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 123456 address 100.1.1.1
//必須保證算法、驗證方式、共享密鑰、DH密鑰組號與防火墻設置一致
R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
//設置ACL
R2(config)#crypto ipsec transform-set R2-set esp-aes esp-sha-hmac 
//與防火墻使用同樣的驗證方式
R2(config)#crypto map R2-map 1 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R2(config-crypto-map)#set peer 100.1.1.1
R2(config-crypto-map)#set transform-set R2-set
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#int f2/0
R2(config-if)#crypto map R2-map
//創建map、設置共同體、定義傳輸方式、調用ACL,最后應用外部接口上
//這就不進行詳細介紹了!
12)PC的配置

PC1的配置:

PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.100 255.255.255.0
PC1(config-if)#no sh
PC1(config-if)#exit
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
//配置IP地址及默認路由

PC2的配置:

PC2(config)#int f0/0
PC2(config-if)#ip add 11.1.1.100 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.1
PC2(config)#line vty 0 4
PC2(config-line)#pass 123456
PC2(config-line)#login
//配置默認路由,并啟用Telnet

PC3的配置:

PC3(config)#int f0/0 
PC3(config-if)#ip add 192.168.2.100 255.255.255.0
PC3(config-if)#no sh
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
//配置IP地址及默認路由
13)驗證

PC1上進行驗證:

PC1#telnet 11.1.1.100
Trying 11.1.1.100 ... Open

User Access Verification

Password: 
PC2>
//telnet登錄成功!
PC1#ping 192.168.2.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/75/112 ms
//PC1使用虛擬專用網與PC3進行通信

四、Cisco防火墻與Cisco路由器的區別

由于,防火墻由于自身的IOS的原因,在配置命令方面與路由器有一定的區別,但是并不是很明顯!

1)默認配置的區別

在建立管理連接的過程中,Cisco ASA防火墻和路由器默認情況下使用的參數不同。

Cisco ASA防火墻使用的默認參數如下:

ASA(config)# show run crypto                  //查看管理連接默認參數
………………              //省略部分內容
crypto isakmp policy 65535
 authentication pre-share
 encryption 3des                  //加密算法為3des
 hash sha
 group 2                           //默認使用DH組2
 lifetime 86400

Cisco路由器使用的默認參數如下:

R2#show crypto isakmp policy                         //查看管理連接默認參數
………………              //省略部分內容
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).          //加密算法為des
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)                 //默認使用DH組1
        lifetime:               86400 seconds, no volume limit

在數據連接建立過程中,ASA防火墻只支持ESP協議。因此,如果路由器使用AH實現數據驗證功能,將無法與ASA成功建立數據連接。

2)IKE協商默認是否開啟

默認情況下,IKE協商在路由器中是開啟的;而在ASA防火墻中是關閉。因此,在ASA防火墻中必須使用命令“crypto isakmp enable outside”開啟IKE協商。

3)隧道模式特性的引入

嚴格意義上說,這并不能算是防火墻和路由器的配置差異,而是防火墻從6.x版本升級到7.0版本引入的特性,它主要用于簡化IPSec會話的配置和管理。而且路由器配置共享密鑰key的命令,ASA防火墻默認也支持。

4)接口安全級別對于IPSec流量的影響

防火墻存在一種限制,如果流量從一個接口進入,就不能從相同安全級別的端口流出。流量不能在同一安全級別的端口之間傳輸,這主要是從安全方面考慮而設定的一種特性。但是會對IPSec流量造成一定的影響。如果在現實環境中,碰到的這種情況,可以使用以下命令:

ASA(config)# same-security-traffic permit intra-interface 
//允許流量進入和離開同一個接口(默認是禁止)
ASA(config)# same-security-traffic permit inter-interface 
//允許流量通過具有相同安全級別的兩個不同的接口

注意:ASA防火墻默認放行一切虛擬專用網的流量!

五、IPSec 虛擬專用網故障排查

常用的命令有:

1)show crypto isakmp sa命令

通過命令可以了解管理連接所處的狀態(這里主要介紹主模式)!常見的狀態,如圖:
Cisco ASA防火墻實現IPSec 虛擬專用網,可跟做!

2)debug crypto isakmp 命令

如果希望了解整個過程,就可以使用這個命令,這個命令是實際工作中最常用于診斷和排查管理連接出現問題的命令。

———————— 本文至此結束,感謝閱讀 ————————

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

常宁市| 平邑县| 富阳市| 海宁市| 仁寿县| 万盛区| 繁昌县| 集贤县| 徐水县| 乌鲁木齐市| 新建县| 竹北市| 襄城县| 湾仔区| 上栗县| 丽江市| 乌鲁木齐市| 焦作市| 南雄市| 栾城县| 土默特左旗| 墨竹工卡县| 格尔木市| 太仆寺旗| 松溪县| 大石桥市| 尤溪县| 德保县| 榕江县| 伽师县| 昌江| 康乐县| 平江县| 上林县| 肥东县| 定兴县| 石阡县| 缙云县| 天水市| 文山县| 沛县|