在Cisco ASA上实验Site to Site IPSec VPN

说明:ASA1和ASA2模拟两个分支的边界Firewall,并在该Firewall上启用PAT和默认路由。A和B分别模拟两个内网的主机。ISP模拟ISP,并启用loopback0接口,模拟公网主机。

要求:在ASA1和ASA2之间建立Site to Site IPSec VPN,A和B能通过IPSec加密隧道用私网IP互访,但访问公网主机时不加密。

配置命令如下:

ASA1:

ciscoasa>en
 
ciscoasa# conf t
//基本配置部分
ciscoasa(config)# hostname ASA1
ASA1(config)# int e0/0
ASA1(config-if)# nameif outside
ASA1(config-if)# security-level 0
ASA1(config-if)# ip add 209.165.200.225 255.255.255.224
ASA1(config-if)# no shut
ASA1(config-if)# int e0/1
ASA1(config-if)# nameif inside
ASA1(config-if)# security-level 100
ASA1(config-if)# ip add 192.168.1.1 255.255.255.0
ASA1(config-if)# no shut
ASA1(config-if)# exit
ASA1(config)# nat (inside) 1 0 0
ASA1(config)# global (outside) 1 interface
ASA1(config)# route outside 0 0 209.165.200.231
ASA1(config)# policy-map global_policy
ASA1(config-pmap)# class inspection_default
ASA1(config-pmap-c)# inspect icmp		//默认ASA不监控ICMP流量,在此外加上可以使内网ping通外网
ASA1(config-pmap-c)# end
ASA1#conf t
//1、启用ISAKMP
ASA1(config)# crypto isakmp enable outside
//2、创建ISAKMP策略
ASA1(config)# crypto isakmp policy 1
ASA1(config-isakmp-policy)# encryption aes-256
ASA1(config-isakmp-policy)# hash sha
ASA1(config-isakmp-policy)# group 5
ASA1(config-isakmp-policy)# lifetime 86400
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# exit
//3、创建隧道组
ASA1(config)# tunnel-group 209.165.201.1 type ipsec-l2l
ASA1(config)# tunnel-group 209.165.201.1 ipsec-attributes
ASA1(config-tunnel-ipsec)# pre-shared-key cisco123
ASA1(config-tunnel-ipsec)# exit
//4、定义IPSec策略
ASA1(config)# crypto ipsec transform-set AES-SHA esp-aes-256 esp-sha-hmac
//5、创建加密映射集
ASA1(config)# access-list outside_cryptomap_1 remark To Encrypt Traffic from 192.168.1.0/24 to 10.10.1.0/24
ASA1(config)# access-list outside_cryptomap_1 extended permit ip 192.168.1.0 255.255.255.0 10.10.1.0 255.255.255.0
ASA1(config)# crypto map outside_map 1 match address outside_cryptomap_1
ASA1(config)# crypto map outside_map 1 set transform-set AES-SHA
ASA1(config)# crypto map outside_map 1 set peer 209.165.201.1
ASA1(config)# crypto map outside_map interface outside
//绕过NAT,为穿越VPN隧道的流量建立NAT豁免规则
ASA1(config)# access-list inside_nat0_outbound remark To Bypass NAT from 192.168.1.0/24 to 10.10.1.0/24
ASA1(config)# access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 10.10.1.0 255.255.255.0
ASA1(config)# nat (inside) 0 access-list inside_nat0_outbound
ASA1(config)# wr

ASA2:

ciscoasa>en
 
ciscoasa# conf t
//基本配置部分
ciscoasa(config)# hostname ASA2
ASA2(config)# int e0/0
ASA2(config-if)# nameif outside
ASA2(config-if)# security-level 0
ASA2(config-if)# ip add 209.165.201.1 255.255.255.224
ASA2(config-if)# no shut
ASA2(config-if)# int e0/1
ASA2(config-if)# nameif inside
ASA2(config-if)# security-level 100
ASA2(config-if)# ip add 10.10.1.1 255.255.255.0
ASA2(config-if)# no shut
ASA2(config-if)# exit
ASA2(config)# nat (inside) 1 0 0
ASA2(config)# global (outside) 1 interface
ASA2(config)# route outside 0 0 209.165.201.2
ASA2(config)# policy-map global_policy
ASA2(config-pmap)# class inspection_default
ASA2(config-pmap-c)# inspect icmp		//默认ASA不监控ICMP流量,在此外加上可以使内网ping通外网
ASA2(config-pmap-c)# end
ASA2# wr
//1、启用ISAKMP
ASA2(config)# crypto isakmp enable outside
//2、创建ISAKMP策略
ASA2(config)# crypto isakmp policy 1
ASA2(config-isakmp-policy)# encryption aes-256
ASA2(config-isakmp-policy)# hash sha
ASA2(config-isakmp-policy)# group 5
ASA2(config-isakmp-policy)# lifetime 86400
ASA2(config-isakmp-policy)# authentication pre-share
ASA2(config-isakmp-policy)# exit
//3、创建隧道组
ASA2(config)# tunnel-group 209.165.200.225 type ipsec-l2l
ASA2(config)# tunnel-group 209.165.200.225 ipsec-attributes
ASA2(config-tunnel-ipsec)# pre-shared-key cisco123
ASA2(config-tunnel-ipsec)# exit
//4、定义IPSec策略
ASA2(config)# crypto ipsec transform-set AES-SHA esp-aes-256 esp-sha-hmac
//5、创建加密映射集
ASA2(config)# access-list outside_cryptomap_1 remark To Encrypt Traffic from 10.10.1.0/24 to 192.168.1.0/24
ASA2(config)# access-list outside_cryptomap_1 extended permit ip 10.10.1.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA2(config)# crypto map outside_map 1 match address outside_cryptomap_1
ASA2(config)# crypto map outside_map 1 set transform-set AES-SHA
ASA2(config)# crypto map outside_map 1 set peer 209.165.200.225
ASA2(config)# crypto map outside_map interface outside
//绕过NAT,为穿越VPN隧道的流量建立NAT豁免规则
ASA2(config)# access-list inside_nat0_outbound remark To Bypass NAT from 10.10.1.0/24 to 192.168.1.0/24
ASA2(config)# access-list inside_nat0_outbound extended permit ip 10.10.1.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA2(config)# nat (inside) 0 access-list inside_nat0_outbound
ASA2(config)# wr

ISP:

conf t
int e0/0
 ip add 209.165.200.231 255.255.255.224
 no shut
int e0/1
 ip add 209.165.201.2 255.255.255.224
 no shut
int loopback 0
 ip address 1.0.0.1 255.255.255.255
 no shut
 exit
ip http server
line vty 0 4
 no login
 exit
enable password cisco
end
wr

A:

conf t
int f0/0
 ip add 192.168.1.2 255.255.255.0
 no shut
 exit
no ip routing
ip default-gateway 192.168.1.1
end
wr

B:

conf t
int f0/0
 ip add 10.10.1.2 255.255.255.0
 no shut
 exit
no ip routing
ip default-gateway 10.10.1.1
end
wr

Site TO Site VPN的监控与排错:

sh crypto isakmp sa detail

//若ISAKMP协商成功,应看到阶段1状态为MM_ACTIVE(State: MM_ACTIVE)。还会显示出IPSec隧道的类型、阶段1的策略、隧道对端的IP等信息。

sh crypto ipsec sa

//检查IPSec SA的状态,包括协商的代理(将被加密的网络),以及IPSec引擎加密/解密数据包的实际数量等信息。

show crypto accelerator statistics

//查看加密加速器的计数器信息,来监测通过加速卡的数据包数量。

show vpn-sessiondb summary

//显示所有活动的VPN会话,其中包括远程访问连接。

ASA1# debug crypto isakmp 127
ASA1# debug crypto ipsec 127

//调试时可使用这两条debug命令来开启调度。默认情况下的debug level(调试等级)会被设置为1,最高等级为255。这里手工将调度等级增加到127。

时间: 2024-08-07 09:41:48

在Cisco ASA上实验Site to Site IPSec VPN的相关文章

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

构建混合云:配置Azure site to site VPN连接(1)

用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求.Azure为混合云的部署提供多种不同的连接方案,最常见的是P2S VPN,S2S VPN, ExpressRoute(专线路由),本文来介绍一下S2S VPN的实际配置案例. 在开始正式配置之前,你需要一些最基本的条件需要满足,才能配置你的Site to Site VPN连接: 确保你的VPN设备在微软的VPN设备兼容列表里面,设备兼容列表请参照: https

IPSec VPN实验

IPSec VPN实验 实验拓扑: 实验目的:掌握IPSec VPN原理 掌握site-to-site VPN配置 IPSec配置参数: IKE policy isakmp key 转换集 加密算法 3DES 哈希算法 MessageDigest 5 认证方式 Pre-Shared Key Diffie-Hellman组 #2 (1024 bit) cisco 载荷加密算法esp-3des 载荷散列算法esp-sha-hmac 认证头 ah-sha-hmac 实验需求: 在R1.R2间配置sit

使用Openswan接入Windows Azure Site to Site VPN

Winodows Azure的Site to Site VPN支持主流的防火墙和路由器等接入设备.具体型号和系列请参考下表: VENDOR DEVICE FAMILY MINIMUM OS VERSION STATIC ROUTING DYNAMIC ROUTING Allied Telesis AR Series VPN Routers 2.9.2 Coming soon Not compatible Barracuda Networks, Inc. Barracuda NG Firewall

VPN相关知识点及ASA上VPN的配置整理

VPN只是IPSec的一种应用方式,IPSec其实是IPSecurity的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案 IPSEC VPN 预先协商加密协议.散列函数.封装协议.封装模式和秘钥有效期等内容.具体执行协商任务的协议叫做互联网秘钥交换协议IKE.协商完成后的结果就叫做安全关联SA(IKE SA和IPSEC SA) IKE建立了安全关联(SA) IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络

ASDM through site to site VPN

网上大部分文档只提到两个地方需要设置: 在6.2版本确实可以.但在7.2版本上只有用vpn client或anyconnect client连上的客户端可以用ASDM连上ASA,而通过site to site VPN的还不行.7.2上还有一个地方要设置:

Cisco ASA基础(一)

今天介绍一下目前Cisco ASA 5500系统常见的六种型号: ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表.表的关键信息:状态化防火墙进行状态化处理的过程:①:pc向web服务器发送一个HTTP请求:②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中:③:防火墙将HTTP请求转发给web服务器.流量返回时,状态化防火墙处理的过程如下所述:①:web服务器相应HTTP请求,返回相应的数据流量:②:防火墙拦截该流量,检查其连接信息:如果在Conn表中

Azure配置Site To Site VPN

本文介绍如何在在Azure和本地数据中心之间建立Site To Site VPN 1. 添加本地网络 点击新建 点击添加本地网络 输入名称,IP地址并点击 输入起始IP,现在CIDR,并点击√ .完成本地网络的添加 2. 注册DNS服务器 点击新建 点击网络服务-虚拟网络-注册DNS服务器 输入名称,DNS IP地址,点击注册DNS服务器 3. 配置Site to Site 选择对应的虚拟网络,并点击 点击配置 选择DNS服务器,勾选连接本地网络,选择连接到的本地网络,然后点击保存 4. 创建网

【微软公有云系列】Hyper-v(WinSer 2012 R2)网络虚拟化(五)NVGRE 网关实现VPN (Site to Site) 下篇

VPN 企业对端 1.环境描述 一台VPNserver ,两个网卡 一个外网卡配置模拟公网地址:10.10.2.200 一个内网卡配置内网地址:10.10.9.100 在VPNserver上搭建一台模拟企业内网测试虚拟机,1个网卡 网卡配置内网地址:10.10.9.222,网关 10.10.9.100 2.VPNServer 部署&配置 步骤一: 安装装相关角色 步骤二: 至此建立完成,下面自动弹出配置端口 步骤三: 此处应该写之前的scvmm上的分配给租户的vpn 公网端点 10.10.2.5