关于IPSEC-VPN穿越ASA防火墙数据转发流量的实验

1、实验拓扑:

2、实验要求:

R1和R2是两个站点,R1的业务地址:10.10.10.10/32,R2的业务地址:20.20.20.20/32;

R1 – ASA:202.16.1.0/29  ASA – R2:209.16.1.0/29,先需要使用IPSEC-VPN技术对业务流量加密,使数据传输更安全;

3、实验配置:

R1:

crypto isakmp policy 10

encr3des

hashmd5

authentication pre-share

group2

crypto isakmp key cisco address 209.16.1.1

!

crypto ipsec transform-set ccna ah-md5-hmacesp-3des

!

crypto map cisco 10 ipsec-isakmp

setpeer 209.16.1.1

settransform-set ccna

match address vpn

!

interface Loopback0

ipaddress 10.10.10.10 255.255.255.255

!

interface FastEthernet0/0

ipaddress 202.16.1.1 255.255.255.248

duplex auto

speed auto

crypto map cisco

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 202.16.1.2

!

no ip http server

no ip http secure-server

!

ip access-list extended vpn

permit ip host 10.10.10.10 host 20.20.20.20

ASA:

interface Ethernet0/0

nameif outside

security-level 0

ipaddress 202.16.1.2 255.255.255.248

!

interface Ethernet0/1

nameif inside

security-level 100

ipaddress 209.16.1.2 255.255.255.248

!

access-list out extendedpermit icmp any any

access-list out extendedpermit esp host 202.16.1.1 host 209.16.1.1

access-list out extendedpermit ah host 202.16.1.1 host 209.16.1.1

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

access-group out ininterface outside

!

R2:

crypto isakmp policy 10

encr3des

hashmd5

authentication pre-share

group 2

crypto isakmp key cisco address 202.16.1.1

!

crypto ipsec transform-set ccna ah-md5-hmacesp-3des

!

crypto map cisco 10 ipsec-isakmp

setpeer 202.16.1.1

settransform-set ccna

match address vpn

!

interface Loopback0

ipaddress 20.20.20.20 255.255.255.255

!

interface FastEthernet0/0

ipaddress 209.16.1.1 255.255.255.248

duplex auto

speed auto

crypto map cisco

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 209.16.1.2

!

no ip http server

no ip http secure-server

!

ip access-list extended vpn

permit ip host 20.20.20.20 host 10.10.10.10

4、配置结果查看:

R1#show crypto isakmp sa

dst             src             state          conn-id slot status

202.16.1.1      209.16.1.1      QM_IDLE              1    0 ACTIVE

R1#show crypto engine connections active

IDInterface            IP-Address      State Algorithm           Encrypt  Decrypt

1FastEthernet0/0      202.16.1.1      set   HMAC_MD5+3DES_56_C        0        0

2001 FastEthernet0/0      202.16.1.1      set   MD5+3DES                 49        0

2002 FastEthernet0/0      202.16.1.1      set   MD5+3DES                  0       39

R1#ping 20.20.20.20 source 10.10.10.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to20.20.20.20, timeout is 2 seconds:

Packet sent with a source address of 10.10.10.10

!!!!!

Success rate is 100 percent (5/5),round-trip min/avg/max = 20/31/68 ms

R2#show crypto isakmp sa

dst             src             state          conn-id slot status

202.16.1.1      209.16.1.1      QM_IDLE              1    0 ACTIVE

R2#show crypto engine connections active

IDInterface            IP-Address      State Algorithm           Encrypt  Decrypt

1FastEthernet0/0      209.16.1.1      set   HMAC_MD5+3DES_56_C        0        0

2001 FastEthernet0/0      209.16.1.1      set   MD5+3DES                 44        0

2002 FastEthernet0/0      209.16.1.1      set   MD5+3DES                  0       15

请大家思考两个问题:

1、为什么本实验在防火墙中需要用到AH的协议放行,而使用放行udp ...eq isakmp不行?注:真实的ASA也应该是可以通过udp ...eq isakmp实现流量放行的。)

2、如果现在条件发生了变化,需要在R1和R2上配置GRE隧道和OSPF路由协议,使用gre over ipsec技术,那么防火墙的流量放行是否需要改变?是否需要添加放行gre协议流量和ospf协议流量?

时间: 2024-11-05 19:27:48

关于IPSEC-VPN穿越ASA防火墙数据转发流量的实验的相关文章

ASA防火墙数据包匹配顺序

文档简介: ASA处理双向流量的顺序,关键点在于是否存在会话,各个厂家处理的顺序不一致,附录juniper以及huawei防火墙的处理顺序 当处理来自或者去往内外网的数据包时,ASA设备经历了路由查找,对主机会话的数量进行限制,将数据包与所配置的访问控制列表(ACL)进行匹配检查等一系列操作. 取决于接收流量的接口(流量的方向),ASA以不同的顺序处理这些操作.下面列出了ASA从Inside接口收到了一个目的地址是位于外部接口的一个主机的数据包时所经历的操作顺序. 从接口收到数据包:Inside

juniper SSG防火墙与飞塔防火墙配置点到点IPSEC VPN

背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec vpn用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21. IPSEC介绍:ipsec-vpn也分路由模式和策略模式.我们这里使用的是策略模式. 俩者有哪些不同的地方呢?对俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于路由的

IPsec VPN详解--nat穿越内网

四. NAT穿越内网路由VPN设置 如图1所示,Router A为某机构总部网关,Router D和Router E是两个分支网关,Router B和Router C为分支提供NAT转换.要求:为了接受协商发起端的访问控制列表设置,Router A采用安全模板方式分别与Router D和Router E建立IPsec VPN,为总部和分支流量进行加密传输. 图1 IPSec VPN多分支安全模板NAT穿越功能的配置举例组网图 设备 接口 IP地址 设备 接口 IP地址 Router  A Eth

树莓派:L2TP/IPsec VPN 服务器一键安装脚本

经试验,在树莓派上一次成功,很好用,谢谢原作者!!!此文转自:https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md IPsec VPN 服务器一键安装脚本 使用 Linux Shell 脚本一键快速搭建 IPsec VPN 服务器.支持 IPsec/L2TP 和 Cisco IPsec 协议,可用于 Ubuntu,Debian 和 CentOS 系统.你只需提供自己的 VPN 登录凭证,然后运行脚本自动完成安装. I

ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名.在这里,我采用思科ASA防火墙实现这个效果. 实验要求: 100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得"163.COM"的域名解析,但无法获得"taobao.com"的域名解析. conf t hostname ASA int e0/0 nameif inside ip add 192.168.1.5 255

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.