700字范文 > Cisco ASA防火墙实现IPSec 虚拟专用网可跟做！！！

Cisco ASA防火墙实现IPSec 虚拟专用网可跟做！！！

时间：2023-05-20 22:33:10

通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco的路由器上实现IPSec 虚拟专用网技术。千万不要以为在CIsco路由器可以实现IPSec 虚拟专用网，在CIsco ASA防火墙也可以实现，虽然原理是一致的，但是其配置过程，稍微有一些不同。下面主要讲解一下如何在Cisco ASA 防火墙上实现IPSec 虚拟专用网。

博文大纲：
一、案例拓补；
二、案例需求；
三、案例实施；
四、Cisco防火墙与Cisco路由器的区别；
五、IPSec 虚拟专用网故障排查；

一、案例拓补

二、案例需求

1.PC1使用IPSec 虚拟专用网访问PC3；

2.PC1可以telnetPC2；

三、案例实施

1）ASA防火墙的基本设置

ASA(config)# int e0/0ASA(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default.//Cisco ASA防火墙inside区域默认优先级为100ASA(config-if)# ip add 192.168.1.1 255.255.255.0ASA(config-if)# no shASA(config-if)# int e0/1ASA(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.//Cisco ASA防火墙outside区域默认优先级为0ASA(config-if)# ip add 100.1.1.1 255.255.255.0ASA(config-if)# no shASA(config-if)# route outside 0 0 100.1.1.2//配置默认路由ASA(config)# nat-control//表示通过ASA防火墙的数据包都必须使用NAT地址转换技术ASA(config)# nat (inside) 1 0 0ASA(config)# global (outside) 1 intINFO: outside interface address added to PAT pool//将内部所有地址转换为外部接口地址，启用PAT的意思

2）配置NAT豁免（带ACL的nat 0）

虚拟专用网和NAT之间存在一定的冲突，若希望既可以访问互联网又可以访问虚拟专用网，就需要配置NAT豁免，让访问虚拟专用网的流量不做NAT转换。

ASA(config)# access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0ASA(config)# nat (inside) 0 access-list nonat//注意nat-id为0 表示使用NAT豁免，优先级最高

3）建立ISAKMP

在路由器上，默认已经启用ISAKMP/IKE协议，但是在ASA防火墙默认并没有启用！需要使用以下命令启用ISAKMP/IKE协议。

ASA(config)# crypto isakmp enable outside//启用ISAKMP/IKE协议

4）配置管理连接策略

ASA(config)# crypto isakmp policy 1//配置ISAKMP/IKE策略，序列号为1，数值越小越优先ASA(config-isakmp-policy)# encryption aes//指定用于身份验证采用aes加密算法（防火墙默认不可以使用des）ASA(config-isakmp-policy)# hash sha//验证数据完整性使用sha算法ASA(config-isakmp-policy)# authentication pre-share //设备验证方式采用预共享密钥ASA(config-isakmp-policy)# group 1//指定DH密钥组

5）配置预共享密钥

ASA(config)# crypto isakmp key 123456 address 200.1.1.2//指定对等体为200.1.1.2，密钥是123456

IOS7.0版本以上的防火墙一般使用隧道组来配置密钥

6）配置Crypto ACL

其实呢，配置NAT豁免的ACL就可以使用！仅限于本博文的拓补情况。

7）配置传输集

ASA(config)# crypto ipsec transform-set ASA-set esp-aes esp-sha-hmac //防火墙加密验证必须使用esp，不可使用AH验证

8）配置Crypto MAP

这里的配置命令与路由器稍微有些不同！命令如下：

ASA(config)# crypto map ASA-map 1 match address nonat//创建Crypto-Map，名称为ASA-map，序列号为1，调用名称为nonat的ACLASA(config)# crypto map ASA-map 1 set peer 200.1.1.2//ASA-map对应的对等体为200.1.1.2ASA(config)# crypto map ASA-map 1 set transform-set ASA-set//ASA-map调用刚才定义的传输集（ASA-set）

9）将Crypto map应用到outside接口上

ASA(config)# crypto map ASA-map int outside

到这里防火墙的配置基本已经完成！

10）R1路由的设置

R1(config)#int f1/0R1(config-if)#ip add 100.1.1.2 255.255.255.0R1(config-if)#no sh R1(config-if)#int f0/0R1(config-if)#ip add 11.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#int f2/0R1(config-if)#ip add 200.1.1.1 255.255.255.0R1(config-if)#no sh//仅配置IP地址即可！

11） R2路由的配置

R2(config)#int f2/0R2(config-if)#ip add 200.1.1.2 255.255.255.0R2(config-if)#no shR2(config-if)#int f0/0R2(config-if)#ip add 192.168.2.1 255.255.255.0R2(config-if)#no sh R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1//配置一条默认路由R2(config)#crypto isakmp policy 1R2(config-isakmp)#encryption aesR2(config-isakmp)#hash shaR2(config-isakmp)#authentication pre-share R2(config-isakmp)#group 1R2(config-isakmp)#exitR2(config)#crypto isakmp key 123456 address 100.1.1.1//必须保证算法、验证方式、共享密钥、DH密钥组号与防火墙设置一致R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255//设置ACLR2(config)#crypto ipsec transform-set R2-set esp-aes esp-sha-hmac //与防火墙使用同样的验证方式R2(config)#crypto map R2-map 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.R2(config-crypto-map)#set peer 100.1.1.1R2(config-crypto-map)#set transform-set R2-setR2(config-crypto-map)#match address 100R2(config-crypto-map)#int f2/0R2(config-if)#crypto map R2-map//创建map、设置共同体、定义传输方式、调用ACL，最后应用外部接口上//这就不进行详细介绍了！

12）PC的配置

PC1的配置：

PC1(config)#int f0/0PC1(config-if)#ip add 192.168.1.100 255.255.255.0PC1(config-if)#no shPC1(config-if)#exitPC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1//配置IP地址及默认路由

PC2的配置：

PC2(config)#int f0/0PC2(config-if)#ip add 11.1.1.100 255.255.255.0PC2(config-if)#no shPC2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.1PC2(config)#line vty 0 4PC2(config-line)#pass 123456PC2(config-line)#login//配置默认路由，并启用Telnet

PC3的配置：

PC3(config)#int f0/0 PC3(config-if)#ip add 192.168.2.100 255.255.255.0PC3(config-if)#no shPC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1//配置IP地址及默认路由

13）验证

PC1上进行验证：

PC1#telnet 11.1.1.100Trying 11.1.1.100 ... OpenUser Access VerificationPassword: PC2>//telnet登录成功！

PC1#ping 192.168.2.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.100, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 44/75/112 ms//PC1使用虚拟专用网与PC3进行通信

四、Cisco防火墙与Cisco路由器的区别

由于，防火墙由于自身的IOS的原因，在配置命令方面与路由器有一定的区别，但是并不是很明显！

1）默认配置的区别

在建立管理连接的过程中，Cisco ASA防火墙和路由器默认情况下使用的参数不同。

Cisco ASA防火墙使用的默认参数如下：

ASA(config)# show run crypto //查看管理连接默认参数……………… //省略部分内容crypto isakmp policy 65535authentication pre-shareencryption 3des //加密算法为3deshash shagroup 2 //默认使用DH组2lifetime 86400

Cisco路由器使用的默认参数如下：

R2#show crypto isakmp policy//查看管理连接默认参数……………… //省略部分内容Default protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys).//加密算法为deshash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman group: #1 (768 bit) //默认使用DH组1lifetime:86400 seconds, no volume limit

在数据连接建立过程中，ASA防火墙只支持ESP协议。因此，如果路由器使用AH实现数据验证功能，将无法与ASA成功建立数据连接。

2）IKE协商默认是否开启

默认情况下，IKE协商在路由器中是开启的；而在ASA防火墙中是关闭。因此，在ASA防火墙中必须使用命令“crypto isakmp enable outside”开启IKE协商。

3）隧道模式特性的引入

严格意义上说，这并不能算是防火墙和路由器的配置差异，而是防火墙从6.x版本升级到7.0版本引入的特性，它主要用于简化IPSec会话的配置和管理。而且路由器配置共享密钥key的命令，ASA防火墙默认也支持。

4）接口安全级别对于IPSec流量的影响

防火墙存在一种限制，如果流量从一个接口进入，就不能从相同安全级别的端口流出。流量不能在同一安全级别的端口之间传输，这主要是从安全方面考虑而设定的一种特性。但是会对IPSec流量造成一定的影响。如果在现实环境中，碰到的这种情况，可以使用以下命令：

ASA(config)# same-security-traffic permit intra-interface //允许流量进入和离开同一个接口（默认是禁止）ASA(config)# same-security-traffic permit inter-interface //允许流量通过具有相同安全级别的两个不同的接口

**注意：**ASA防火墙默认放行一切虚拟专用网的流量！