ASA之间建立IPsec-VPN(Dynamic site-to-site static)【一边固定IP、一边动态IP】

ASA之间建立IPsec-VPN(Dynamic site-to-site static)【一边固定IP、一边动态IP】

 

网络拓扑:


ASA动态端:

第一阶段:8.4(2)版本及以上的ASA支持2个版本的IKE,所以在定义密钥的交互形式的时候我们选择IKEV1,主要是路由器没有对应的IKEV2的版本:

 

crypto ikev1 policy 10

 authentication pre-share

 encryption 3des

 hashmd5

 group 2

 lifetime 28800

 

tunnel-group 123.123.10.1 type ipsec-l2l      //定义VPN的形式以peer

tunnel-group 123.123.10.1 ipsec-attributes    //进入ipsec-vpn的属性配置

 ikev1 pre-shared-key *****

 

第二阶段:主要用于如何安全的交互数据。这里我们采用3des来加密数据,同时哈希算法使用MD5,要想实现L2L的IPSEC-VPN,VPN的模式务必使用tunnel 模式,默认情况下IPSEC-VPN工作在tunnel模式:

crypto ipsec ikev1 transform-set officehkesp-3des esp-md5-hmac

定义感兴趣流:感兴趣流一定要写明细的条目,不能为any字样,否则VPN无法建立。同时两边的感兴趣流务必对称:

access-list ipsec_vpn extended permit ip 172.15.1.0 255.255.255.0 10.43.0.0 255.255.255.0

 

配置NAT豁免:主要作用于去往隧道加密的流量不被NAT

object network local-vpn-traffic

 subnet 172.15.1.0 255.255.255.0

object network remote-vpn-traffic

 subnet 10.43.0.0 255.255.255.0

nat (inside,outside) source static local-vpn-trafficlocal-vpn-traffic destination static remote-vpn-traffic remote-vpn-traffic

 

创建crypto map 调用第一、二阶段:

crypto map ipsec-map 10 match addressipsec_vpn

crypto map ipsec-map 10 set pfs group5

crypto map ipsec-map 10 set peer 123.123.10.1

crypto map ipsec-map 10 set ikev1transform-set officehk

公网outside接口调用crypto map :

crypto map ipsec-map interface outside

crypto ikev1 enable outside

 

 

ASA静态端:

第一阶段:

crypto ikev1 policy 10

 authentication pre-share

 encryption 3des

 hashmd5

 group 2

 lifetime 86400

tunnel-group DefaultL2LGroup ipsec-attributes  \\这里必须使用系统默认的组来做动态L2L

 ikev1 pre-shared-key *****

 

第二阶段:

crypto ipsec ikev1 transform-set hk_officeesp-3des esp-md5-hmac

定义感兴趣流:

access-list ipsec_vpn extended permit ip 10.43.0.0 255.255.0.0 172.15.1.0 255.255.255.0

 

配置NAT豁免:

object network local-vpn-traffic

 subnet 10.43.0.0 255.255.0.0

object network hk-office-traffic

 subnet 172.15.1.0 255.255.255.0

nat (inside,outside) source staticlocal-vpn-traffic local-vpn-traffic destination static hk-office-traffichk-office-traffic

 

创建crypto map 调用第一、二阶段(这里必须使用动态map调用转换集,然后用静态map关联):

crypto dynamic-map hkdymap 10 match addressipsec_vpn

crypto dynamic-map hkdymap 10 set pfs group5

crypto dynamic-map hkdymap 10 set ikev1transform-set hk_office

crypto map ezvpnmap 10 ipsec-isakmp dynamichkdymap

crypto map ezvpnmap interface outside

crypto ikev1 enable outside


最后,流量触发--自动建立VPN隧道(必须从动态一端触发):

常用隧道查看命令:

show crypto isakmp sa 

show crypto ipsec sa

show crypto isakmp stats

show crypto ipsec stats



 

 

时间: 2024-10-10 16:08:21

ASA之间建立IPsec-VPN(Dynamic site-to-site static)【一边固定IP、一边动态IP】的相关文章

ASA防火墙实现IPSec VPN

目的:实现PC1与PC2通讯使用VPN隧道,PC1通过PAT能远程telnet到R2. 1.建立连接. pc1 int f 0/0 ip add 192.168.1.2 255.255.255.0 no sh exit no ip routing ip default-gateway 192.168.1.1 pc2 int f 0/0 ip add 192.168.2.2 255.255.255.0 no sh exit no ip routing ip default-gateway 192.

使用TMG 2010建立IPSec VPN

1.概述 1.1. 前言 在跨地域的网络环境之间,建立无需拨号连接的VPN连接.在没有点对点专线.硬件VPN设备等条件下,是否可以使用软件来实现? 本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec VPN. 1.2. 网络拓扑 拓扑说明 A站: ? 局域网内有1个子网10.2.4.0/24 ? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG ? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火

H3C,华为和CISCO设备之间的ipsec vpn 配置实例

ISCO设备(PIX/ASA/ROUTER):外网口ip:1.1.1.1  内网服务器:192.168.1.1 H3C secpath:外网口ip:2.2.2.2  内网服务器:192.168.2.2通过ipsec vpn,允许两台服务器之间通讯 CISCO配置: #步骤1crypto isakmp policy 10authentication pre-shareencryption 3deshash shagroup 2lifetime 86400 #步骤2 crypto ipsec tra

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地

ASA 模擬 Ipsec VPN

ASA1: ASA1# show running-config : Saved : ASA Version 8.0(2) ! hostname ASA1 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0  nameif outside  security-level 0  ip address 10.1.1.1 255.255.255.0  ! interface Ethernet0/1  namei

IPsec VPN原理与配置 【Route&ASA】

IPsec VPN原理与配置 简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式 传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式 与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

IPSec VPN的原理与配置

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 一.VPN概述 VPN技术最早是为了解决明文数据在网络上传输带来的安全隐患而产生的.TCP/IP协议族中很多协议都是采用明文传输的,比如telnet.ftp.tftp等. VPN技术可以对公网上传输的数据进行加密,也可以实现数据传输双方的身份验证. 1.VPN的定义 VPN(虚拟专用网),就是在两个网络实体之间建立的一个受保护的连接.这两

详解IPSec VPN

防伪码:以爱之名,判你无期徒刑,在我心里执行. 前言:本章主要讲解IPSEC VPN相关理论概念,工作原理及配置过程.从安全和加密原理入手,讲解了IPSEC 在vpn对等体设备实现的安全特性,如数据的机密性.数据的完整性,数据验证等.重点分析IKE阶段1和阶段2的协商建立过程,为VPN等体间故障排查打下坚实的理论基础,最后,分别在cisco的路由器和防火墙上实现IPSEC VPN的应用和配置,并结合企业需求进行案例分析和讲解. 一. VPN概述 VPN技术起初是为了解决明文数据在网络上传输带来的

IPSec VPN扩展实验

需求:Site1 和 Site2,Site3分别建立IPSec VPN,实现流量加解密. Site1: interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.12.254 crypto isakmp policy 100 encr 3des au