2-V P N:ASA IPsec配置(ASA-IKEV1的L2L配置詳解)
二、實驗要求:
三、命令部署:
一、接口地址、路由等基本部署:
1、基本配置接口地址、環回口測試地址:
R1(config)#int lo0 //創建環回口
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#int f0/0 //配置接口IP地址
R1(config-if)#no shutdown
R1(config-if)#ip add 172.16.1.1 255.255.255.0
ASA(config)# int g0
ASA(config-if)# no shutdown
ASA(config-if)# nameif inside
ASA(config-if)# ip add 172.16.1.10 255.255.255.0
ASA(config)# int g1
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip add 202.100.1.10 255.255.255.0
R2(config)#int f0/0 //配置接口IP地址
R2(config-if)#no shutdown
R2(config-if)#ip add 202.100.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#ip add 202.100.2.2 255.255.255.0
R3(config)#int f0/0 //配置接口IP地址
R3(config-if)#no shutdown
R3(config-if)#ip add 202.100.2.3 255.255.255.0
R3(config)#int lo0 //創建環回口
R3(config-if)#ip add 3.3.3.3 255.255.255.0
2、Site2(R3)配置一條默認路由,下一跳指向Internet(R2);
Inside Network(R1) 配置一條默認路由,下一跳指向Site1(ASA)
R3(config)#ip route 0.0.0.0 0.0.0.0 202.100.2.2 //默認路由,下一跳為R2連接接口地址
主要解決去往Site1的內網口,以及去往對端通信點的路由,可以配置為靜態路由,但一定要確保有去往對端通信點的路由
R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.10 //默認路由,下一跳為ASA連接接口地址
主要解決Inside Network去往Site1外網口,以及去往對端通信點的路由
3、Site1(ASA)配置默認路由,下一跳指向Internet(R2),同時要解決去住內部1.1.1.1的路由
ASA(config)# route outside 0 0 202.100.1.2 //解決去往Intenet3.3.3.3的路由
ASA(config)# route inside 0 0 172.16.1.1 tunneled //解決去往內部1.1.1.1的路由。該路由僅限於×××隧道進入的流量使用(ASA的地址為202.100.1.10),也就說這條路由僅僅為×××流量服務的,如果不是×××,它是不會服務的
測試:
ASA1(config)# ping 1.1.1.1 //查看ASA和1.1.1.1是否可通,實際不通,這條路由只有在×××的時候才能用,所以肯定是不通的
ASA(config)#ping 202.100.2.3 //查看ASA和R3的202.100.2.3是否可通
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.2.3, timeout is 2 seconds: ?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 20/22/30 ms
二、重點命令部署:
1、R3配置×××:
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
查看:僅僅配置上邊的也可以。
我們只是輸入了預共享秘鑰,其它都是系統默認配置好的
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 86400
R3(config)#crypto isakmp key 0 cisco address 202.100.1.10//既然是預共享秘鑰,我們要寫個key
感興趣流:
R3(config)#ip access-list extended aa //命名方式的ACL
R3(config-ext-nacl)#permit ip host 3.3.3.3 host 1.1.1.1
配置轉換集:
R3(config)#crypto ipsec transform-set cisco esp-aes esp-md5-hmac //轉換集就是實際流量的加密方式
//默認就是tunnel模式,可以不用敲的
配置Map:
R3(config)#crypto map cisco 10 ipsec-isakmp
R3(config-crypto-map)#set peer 202.100.1.10
R3(config-crypto-map)#set transform-set cisco //加密方式就是轉換集裏的加密方式
R3(config-crypto-map)#match address aa //匹配名字為aa的流量
R3(config-crypto-map)#set pfs group1 //設置向前保護
接口下調用:
R3(config)#int f0/0
R3(config-if)#crypto map cisco
查看配置:
2、ASA配置:
配置第一階段IKE、SA:
ASA1(config)# crypto ikev1 enable outside //激活相關接口的IKEV1功能,默認被關閉,需手動開啟
ASA1(config)# crypto ikev1 policy 10 //配置policy,路由器用isakmp
ASA1(config-ikev1-policy)# authentication pre-share
ASA1(config-ikev1-policy)# encryption 3des
ASA1(config-ikev1-policy)# hash md5
ASA1(config-ikev1-policy)# group 5
ASA1(config-ikev1-policy)# lifetime 86400
對比:ASA如果只配置預共享模式,查看默認配置和路由器不一樣,比路由器默認配置安全性更高一點
路由器是這麽做的:crypto isakmp key 0 cisco address 202.100.1.10//key是用來做預共享秘鑰,做簡單驗證
ASA1(config)# tunnel-group 202.100.2.3 type ipsec-l2l //使用L2L模式,202.100.2.3是一個名字,而且需要註意這個名字必須是對端的IP地址
ASA1(config)# tunnel-group 202.100.2.3 ipsec-attributes //在屬性裏面定義Key
ASA1(config-tunnel-ipsec)# ikev1 pre-shared-key cisco
配置轉換集
ASA1(config)# crypto ipsec ikev1 transform-set cisco esp-aes esp-md5-hmac //路由器沒有ikev1,實際流量的加密方式,默認也是隧道模式,不需要管
配置感興趣流
ASA1(config)# access-list bb extended permit ip host 1.1.1.1 host 3.3.3.3
定義MAP
ASA1(config)# crypto map mingzi 10 match address bb //路由器配一個map然後重復調用,ASA全部都是單獨命令
ASA1(config)# crypto map mingzi 10 set peer 202.100.2.3
ASA1(config)# crypto map mingzi 10 set ikev1 transform-set cisco
ASA1(config)# crypto map mingzi 10 set pfs group1
調用MAP到相應接口
ASA1(config)# crypto map mingzi interface outside //直接在全局配置模式調用就可以
查看驗證配置:
ASA1(config)# show run crypto
ASA1(config)# show run tunnel-group
tunnel-group 202.100.2.3 type ipsec-l2l
tunnel-group 202.100.2.3 ipsec-attributes
ikev1 pre-shared-key *****
ASA中放行ICMP流量:(註意點,這個不需要)
ASA1(config)# access-list bb extended permit icmp any any
ASA1(config)# access-group bb in interface outside
測試:
1、ASA未放行ICMP流量:R3帶源是Ping不通R1的環回口的:
R3#ping 1.1.1.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3 .....
Success rate is 0 percent (0/5)
2、ASA放行ICMP流量後:
R3#ping 1.1.1.1 source loopback 0
R3#show crypto engine connections active //查看加密、解密流量個數
註意:有時候ASA中會出現策略消失的情況,這時候重啟ASA就好了。
3、測試R3的Telnet流量能否通過:
R1(config)#line vty 0 4
R1(config-line)#password aa
R1(config-line)#login
R3#ping 1.1.1.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/38/44 ms
R3#telnet 1.1.1.1 /source-interface loopback 0
Trying 1.1.1.1 ... Open
User Access Verification
Password:
R1>
2-V P N:ASA IPsec配置(ASA-IKEV1的L2L配置詳解)