在Cisco的ASA防火墻上實現IPSec虛擬專用網
博文大綱:
- 一��、網絡環境需求
- 二��、配置前準備
- 三���、配置虛擬專用網
- 四���、總結
前言:
之前寫過一篇博文:Cisco路由器之IPSec 虛擬專用網��,那是在公司網關使用的是Cisco路由器的情況下����,來搭建虛擬專用網的����,那么公司網關若是Cisco的ASA防火墻呢��?就讓這篇博文來帶你配置一下�。
注:虛擬專用網:(Virtual Private Network)�,請看英文的首字母����,就知道是什么咯���,由于它是敏/感詞匯��,所以文中全部使用虛擬專用網來代替
關于其中的知識點及相關概念�,都在文章開頭的那篇博文鏈接中介紹的差不多了�,在防火墻和路由器上實現虛擬專用網�����,原理差不多����,所以這里就不啰嗦了����,直接上配置�。
網絡環境如下:
一���、網絡環境需求
1����、需要在總公司和各個分公司的網關ASA上建立IPSec虛擬專用網����,實現總公司和分公司的某個網段(一般是只有某個部門有互通的必要性)互通��。
2�����、兩個分公司之間也需要配置虛擬專用網實現互通��,并且是通過總公司的網關ASA的outside區域的E0/1實現互通的(當然���,也可以繞過總公司的ASA防火墻����,根據實際需求來定即可)���。
3���、不但總公司與分公司之間需要有虛擬專用網�,而且不要影響公司內部主機訪問Internet(通過端口PAT來實現�,配置完成后����,Telnet登錄R2路由器進行驗證)����。
4���、公司內部使用路由器來代替PC機進行測試�,Internet的R2路由器除了配置IP地址外�,不可配置任何路由條目�。
二�、配置前準備
(若直接在生產環境配置�,并且配置了基本接口IP�、路由等�。則可以忽略配置前準備)
1�����、我這里使用的是GNS3模擬器��,自行搭建網絡拓撲圖���,使用防火墻時��,需要將接口類型改一下���,如下(GNS3默認不帶防火墻���,需要自行載入���,若需要幫助����,可以私信我):
2�、自行配置接口IP地址以及路由條目����,范例如下:
'路由器配置接口IP及路由條目(R2除外���,都需要配置默認路由�,相當于它的網關)'
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#in f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
'防火墻ASA配置接口IP及路由條目:'
ciscoasa> en
Password: #默認沒有密碼���,直接回車即可
ciscoasa# conf t
ciscoasa(config)# in e0/0
ciscoasa(config-if)# nameif inside #需要先定義區域
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# in e0/1
ciscoasa(config-if)# nameif ouside
INFO: Security level for "ouside" set to 0 by default.
ciscoasa(config-if)# ip add 201.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route ouside 0 0 201.0.0.2 #配置默認路由���,下一跳指向互聯網的R2路由器�。
三����、配置虛擬專用網
配置完接口IP及路由信息���,即可跟著配置下面的虛擬專用網�����。
1�����、配置總公司與分公司1之間的虛擬專用網:
(1)總公司的ASA-1配置如下:
ASA-1(config)# crypto isakmp enable outside #啟用ISAKMP/IKE
#'以下是配置ISAKMP策略(也就是管理連接的配置)'
ASA-1(config)# crypto isakmp policy 1 #策略序列號為“1”�,范圍是1~10000���,數值越小�����,優先級越高
ASA-1(config-isakmp-policy)# authentication pre-share #聲明設備認證方式為“預先共享密鑰”
ASA-1(config-isakmp-policy)# encryption aes #配置加密算法
ASA-1(config-isakmp-policy)# hash md5 #hash命令指定驗證過程中采用的散列算法
ASA-1(config-isakmp-policy)# group 2 #采用DH算法的強度為group2
ASA-1(config-isakmp-policy)# lifetime 10000 #可選�����,管理連接生存周期��,默認為86400s(24小時)
ASA-1(config-isakmp-policy)# crypto isakmp key 2019.com address 202.0.0.1 #配置“預先共享密鑰”
#'下面是數據連接配置'
ASA-1(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
#定義虛擬專用網保護的流量
ASA-1(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
#數據連接協商參數�����,“test-set”是自定義的名稱
ASA-1(config)# crypto map test-map 1 match address lan1_lan2 #匹配的ACL
ASA-1(config)# crypto map test-map 1 set peer 202.0.0.1 #虛擬專用網對端地址
ASA-1(config)# crypto map test-map 1 set transform-set test-set #將數據連接關聯剛才創建的傳輸集
ASA-1(config)# crypto map test-map interface outside #將crypto map 應用到outside接口上����。
關于配置中的命令已經在上面全部體現出來了����,接下來的大多數配置命令都可在上面找到相應的注釋�,所以下面我就不寫注釋了(體諒一下懶癌晚期患者)��。
(2)分公司1的ASA-2配置如下:
ASA-2(config)# crypto isakmp enable outside
ASA-2(config)# crypto isakmp policy 1
ASA-2(config-isakmp-policy)# authentication pre-share
ASA-2(config-isakmp-policy)# encryption aes
ASA-2(config-isakmp-policy)# hash md5
ASA-2(config-isakmp-policy)# group 2
ASA-2(config-isakmp-policy)# lifetime 10000
ASA-2(config-isakmp-policy)# crypto isakmp key 2019.com address 201.0.0.1
ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-2(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-2(config)# crypto map test-map 1 match address lan2_lan1
ASA-2(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-2(config)# crypto map test-map 1 set transform-set test-set
ASA-2(config)# crypto map test-map interface outside
至此���,總公司和分公司1的虛擬專用網就建立完成了�,可以使用R3和R1進行ping測試����,虛擬專用網建立連接需要時間��,在路由及接口IP配置無誤的情況下����,ping個兩三次才可ping通���,如果ping了三五次都沒ping通����,多半是涼了��,自行排錯吧�����,通過show run命令查看哪里配置錯了吧����!
2�、配置總公司與分公司3之間的虛擬專用網:
(1)總公司的ASA-1配置如下(關于管理連接的配置可以和總公司到分公司1的配置共用���,可以說只要配置涉及了ACL及IP地址的命令改動下再配置一下就可以了):
ASA-1(config)# crypto isakmp key 2020.com address 203.0.0.1
ASA-1(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA-1(config)# crypto map test-map 2 match address lan1_lan3
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set peer 203.0.0.1
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set transform-set test-set
(2)分公司2的ASA-3配置如下:
ASA-3(config)# crypto isakmp enable outside
ASA-3(config)# crypto isakmp policy 1
ASA-3(config-isakmp-policy)# authentication pre-share
ASA-3(config-isakmp-policy)# encryption aes
ASA-3(config-isakmp-policy)# hash md5
ASA-3(config-isakmp-policy)# group 2
ASA-3(config-isakmp-policy)# lifetime 10000
ASA-3(config-isakmp-policy)# crypto isakmp key 2020.com address 201.0.0.1
ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-3(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-3(config)# crypto map test-map 1 match address lan3_lan1
ASA-3(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-3(config)# crypto map test-map 1 set transform-set test-set
ASA-3(config)# crypto map test-map interface outside
配置至此����,分公司2的R4路由器就可以ping通總公司的R1路由器了�。
3����、配置分公司2和分公司3的虛擬專用網(其實就是配置幾條ACL即可):
#'總公司的ASA-1配置如下:'
ASA-1(config)# same-security-traffic permit intra-interface #允許流量進入和離開同一個接口�,默認是禁止
ASA-1(config)# access-list lan1_lan2 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA-1(config)# access-list lan1_lan3 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
#'分公司1的ASA-2配置如下:'
ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
#'分公司2的ASA-3配置如下:'
ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0
至此���,總公司�����、分公司1和分公司2之間的虛擬專用網就建立成功了��。其中需要注意的是���,分公司1和分公司2之間的虛擬專用網的建立是基于總公司的防火墻的�����,一旦總公司的防火墻出現故障�����,那么分公司1和分公司2之間的虛擬專用網也就不復存在了����。也可以選擇分公司1和分公司2之間直接建立虛擬專用網���,它們之間的流量不再經過總公司的防火墻���,這個可以根據實際情況來定即可�����。
那么�����,被虛擬專用網保護的流量�����,如何訪問互聯網資源呢��?現在就通過PAT來實現��。讓每個公司內部的主機�,既可以通過虛擬專用網訪問到另一個公司的內部資源��,也可以使每個公司內部的主機可以訪問到互聯網資源���。
注:我查到的資料上看到�,需要啟用NAT控制�,并且豁免虛擬專用網流量���,但是���,我測試發現完全不需要����,直接在ASA上做了PAT端口映射即可實現想要的效果�,原本想再驗證下我的想法��,但是網絡環境已經被我關閉了���,算了�,有興趣的話自行驗證吧��。
4�����、配置各個防火墻上的PAT端口映射:
總公司防火墻配置:
ASA-1(config)# nat-control
ASA-1(config)# nat (inside) 1 0 0
ASA-1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-1(config)# access-list vpm permit ip 192.168.1.0 255.255.255.0 192.168.2.0$
ASA-1(config)# access-list vpm permit ip 192.168.1.0 255.255.255.0 192.168.3.$
ASA-1(config)# nat (inside) 0 access-list vpm
分公司1防火墻配置:
ASA-2(config)# nat-control
ASA-2(config)# nat (inside) 1 0 0
ASA-2(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-2(config)# nat (inside) 0 access-list lan2_lan1
分公司2防火墻配置:
ASA-3(config)# nat-control
ASA-3(config)# nat (inside) 1 0 0
ASA-3(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-3(config)# nat (inside) 0 access-list lan3_lan1
5���、啟用Internet中的R2路由器的Telnet功能���,以便公司內部進行訪問測試:
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
R2(config-line)#exit
R2(config)#enable secret 123456
6����、驗證(在驗證過程中�,發現會ping一兩次才會完全ping通����,剛開始會不通或丟包���,屬于正?��,F象���,因為虛擬專用網建立連接也是需要時間的):
四�、總結
1���、在數據連接建立過程中���,ASA防火墻只支持ESP協議����,因此��,如果對端是路由器����,使用了AH協議實現數據驗證功能���,將無法與ASA成功地建立數據連接���。
2�、IKE協商在路由器上是默認開啟的���,但是在ASA上模式是關閉的����,需要使用命令“ crypto isakmp enable outside”開啟����。
3�、ASA上配置預共享密鑰時�,一般使用隧道組來配置密鑰���,隧道組配置密鑰的過程將在下面文章末尾寫出來��,我在上面使用的配置方法���,是和路由器上一樣的配置方法��,ASA會自動識別���,并自動改為隧道組配置��。
4���、防火墻存在一種這樣一個限制���,就是流量從一個接口進入�,就不能從相同安全級別的端口流出�����。當然也不可以進入和離開同一個接口����,可以使用命令“ same-security-traffic permit intra-interface”���,在上面的配置中�,配置分公司1和分公司2時�����,由于流量需要進入和離開總公司的e0/1接口��,所以在總公司的防火墻上配置了這條命令����。
5�����、ASA默認放行一切虛擬專用網的流量�,因為虛擬專用網的流量本來就是安全的�����,所以ASA為其開綠燈���。
———————— 本文至此結束����,感謝閱讀 ————————
