2. 程式人生 > >GNS下ASA配置ipsec VPN 實驗

GNS下ASA配置ipsec VPN 實驗

阿新 發佈:2019-02-01
一、基礎配置
PC1的配置
Router>en
Router#conf t
Router(config)#hostname pc1  《==主機用路由器來模擬
pc1(config)#interface e0/0
pc1(config-if)#ip address 192.168.100.100 255.255.255.0
pc1(config-if)#no shutdown
pc1(config-if)#ex
pc1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
pc1(config)#end
pc1#

PC2的配置
Router>en
Router#conf t
Router(config)#hostname PC2
PC2(config)#interface e0/0
PC2(config-if)#ip address 172.16.100.100 255.255.255.0
PC2(config-if)#no shutdown
PC2(config)#ip route 0.0.0.0 0.0.0.0 172.16.100.1
PC2(config)#end
PC2#
internet的配置
Router>en
Router#conf t
Router(config)#hostname internet
internet(config)#interface e0/0
internet(config-if)#ip address 211.1.1.2 255.255.255.0
internet(config-if)#no shutdown
internet(config-if)#exit
internet(config)#interface e0/1
internet(config-if)#ip address 222.1.1.2 255.255.255.0
internet(config-if)#no shutdown
internet(config-if)#exit
internet(config)#interface loopback 0
internet(config-if)#ip address 100.100.100.100 255.255.255.0
internet(config-if)#exit
internet(config)#interface loopback 1
internet(config-if)#ip address 200.200.200.200 255.255.255.0
internet(config-if)#exit
internet(config)#line vty 0 4  《==開啟telnet用來測試 網路互通性
internet(config-line)#privilege level 15
internet(config-line)#no login

ASA1配置
ciscoasa> en
Password:
ciscoasa(config)# hostname ASA1
ASA1(config)# interface e0/0  《==配置外部介面
ASA1(config-if)# nameif outside
ASA1(config-if)# ip address 211.1.1.1 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# exit
ASA1(config)# interface e0/1  《==配置內部介面
ASA1(config-if)# nameif inside
ASA1(config-if)# ip address 192.168.100.1 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# end
ASA2配置
ciscoasa> en
Password:
ciscoasa# conf t
ciscoasa(config)# hostname ASA2
ASA2(config)# interface e0/0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 222.1.1.1 255.255.255.0
ASA2(config-if)# no shutdown
ASA2(config-if)# exit
ASA2(config)# interface e0/1
ASA2(config-if)# nameif inside
ASA2(config-if)# ip address 172.16.100.1 255.255.255.0
ASA2(config-if)# no shutdown
ASA2(config-if)# exit
ASA2(config)#

二、路由 ACL NAT配置

ASA1配置
ASA1(config)# route outside 0 0 211.1.1.2 《==預設路由指向執行商
ASA1(config)# global (outside) 1 interface 《==配置內網去Internet的NAT 包括下一句
ASA1(config)# nat (inside) 1 0 0
ASA1(config)# access-list out2in permit icmp any any  《== ACL從外網到內網 放行icmp和VPN用到的相關協議(esp ah isakmp)
ASA1(config)# access-list out2in permit esp host 222.1.1.1 host 211.1.1.1
ASA1(config)# access-list out2in permit ah host 222.1.1.1 host 211.1.1.1
ASA1(config)# access-list out2in permit udp host 222.1.1.1 host 211.1.1.1 eq isakmp
ASA1(config)# access-group out2in in interface outside 《==應用ACL到outside 介面的入方向
ASA2配置
ASA2(config)# route outside 0 0 222.1.1.2
ASA2(config)# global (outside) 1 interface
ASA2(config)# nat (inside) 1 0 0
ASA2(config)# access-list out2in permit icmp any any
ASA2(config)# access-list out2in permit esp host 211.1.1.1 host 222.1.1.1
ASA2(config)# access-list out2in permit ah host 211.1.1.1 host 222.1.1.1
ASA1(config)# access-list out2in permit udp host 211.1.1.1 host 222.1.1.1 eq isakmp
ASA2(config)# access-group out2in in interface outside
         
pc1#ping 100.100.100.100  《==此時PC1可以 ping telnet internet 上的100.100.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/21/56 ms
pc1#100.100.100.100
Trying 100.100.100.100 ... Open
internet#exit
[Connection to 100.100.100.100 closed by foreign host]
PC2#ping 100.100.100.100  《==此時PC2也可以 ping telnet internet 上的100.100.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/24/44 ms
PC2#100.100.100.100
Trying 100.100.100.100 ... Open
internet#exit
[Connection to 100.100.100.100 closed by foreign host]

三、配置VPN及其它
ASA1配置
ASA1(config)# access-list vpn permit ip 192.168.100.0 255.255.255.0 172.16.100.0 255.255.255.0 《== 定義感興趣流量
ASA1(config)# nat (inside) 0 access-list vpn 《==感興趣流量不做NAT
ASA1(config)# crypto isakmp policy 10 《== 配置IKE階段一isakmp 策略
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# encryption des
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# lifetime 86400
ASA1(config-isakmp-policy)# group 2
ASA1(config)# crypto isakmp key 12345678 address 222.1.1.1 《==配置預共享金鑰是12345678
ASA1(config)# crypto isakmp enable outside
ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmac 《==配置階段二 ipsec變換集
ASA1(config)# crypto map vpn 10 ipsec-isakmp 《== 配置VPN MAP
ASA1(config)# crypto map vpn 10 match address vpn
ASA1(config)# crypto map vpn 10 set peer 222.1.1.1
ASA1(config)# crypto map vpn 10 set transform-set mytrans
ASA1(config)# crypto map vpn interface outside 《== 應用VPN MAP到介面上
ASA2配置 《==類似ASA1的配置 兩邊引數要一樣
ASA2(config)#  access-list vpn permit ip 172.16.100.0 255.255.255.0 192.168.100.0 255.255.255.0
ASA2(config)#  nat (inside) 0 access-list vpn
ASA2(config)#
ASA2(config)#  crypto isakmp policy 10
ASA2(config-isakmp-policy)#  authentication pre-share
ASA2(config-isakmp-policy)#  encryption des
ASA2(config-isakmp-policy)#  hash md5
ASA2(config-isakmp-policy)#  lifetime 86400
ASA2(config-isakmp-policy)#  group 2
ASA2(config-isakmp-policy)#
ASA2(config-isakmp-policy)#  crypto isakmp key 12345678 address 211.1.1.1
ASA2(config)#  crypto isakmp enable outside
ASA2(config)#  crypto ipsec transform-set mytrans esp-des esp-md5-hmac
ASA2(config)#
ASA2(config)#  crypto map vpn 10 ipsec-isakmp
ASA2(config)#  crypto map vpn 10 match address vpn
ASA2(config)#  crypto map vpn 10 set peer 211.1.1.1
ASA2(config)#  crypto map vpn 10 set transform-set mytrans
ASA2(config)#  crypto map vpn interface outside

四、驗證配置
pc1#ping 172.16.100.100       《==主機1可以ping 通分支內網的主機2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.100, timeout is 2 seconds:
.!!!!                         《==第一個包不通 是用來啟用VPN隧道
Success rate is 80 percent (4/5), round-trip min/avg/max = 20/34/48 ms
pc1#
ASA1# show crypto isakmp sa   《==可以在下面的輸出看出isamkp的安全關聯(SA)已經建立
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 222.1.1.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

ASA1# show crypto ipsec sa 《== 從下面輸出可以看到 IKE階段二ipsec的的安全關聯也建立 並且有4個包被加密解密
interface: outside
    Crypto map tag: vpn, seq num: 10, local addr: 211.1.1.1
      access-list vpn permit ip 192.168.100.0 255.255.255.0 172.16.100.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.100.0/255.255.255.0/0/0)
      current_peer: 222.1.1.1
      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 《==ping5個包 加密解密4個 第一個ping用來啟用VPN隧道 所以沒有加密解密
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 211.1.1.1, remote crypto endpt.: 222.1.1.1
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 18D04FD9
    inbound esp sas:
      spi: 0xA8F42FA1 (2834575265)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 4096, crypto-map: vpn
         sa timing: remaining key lifetime (kB/sec): (3824999/28782)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x18D04FD9 (416305113)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 4096, crypto-map: vpn
         sa timing: remaining key lifetime (kB/sec): (3824999/28782)
         IV size: 8 bytes
         replay detection support: Y
ASA1#

相關推薦

GNSASA配置ipsec VPN 實驗

一、基礎配置 PC1的配置 Router>en Router#conf t Router(config)#hostname pc1  《==主機用路由器來模擬pc1(config)#interface e0/0 pc1(config-if)#ip address 192.168.100.100 255.

Cisco路由器配置 IPsec VPN

ipsec vpn拓撲圖實驗目的:實現R1網段:172.16.10.0/24與R2網段172.17.10.0/24通信加密。配置思路:路由通過ACL設置感興趣流配置IKE第一階段配置IKE第二階段新建MAP,並應用於接口配置:R1:配置默認路由和接口IP信息interface Loopback0 ip ad

win10安裝配置cisco vpn client

win10下安裝配置cisco vpn client 一、原理說明 Cisco VPN Client v5.0.07.0440(最新版本和穩定版本)的EOL名稱意味著較新的作業系統(如Windows

IPSEC VPN實踐配置--總部(USG)防火牆和分支機構(ASA)防火牆之間點到點IPSEC VPN連線,且兩端出口IP固定、出口存在NAT

一、案例介紹 本例介紹總部和分支機構的出口網關同時為NAT裝置時如何建立IPSec隧道 二、組網拓撲 某企業分為總部(A)和分支機構(B)。 如下圖所示: (建議將上圖畫在草稿紙上,標好埠及IP,以便後續配置時候檢視) 組網如下: • 總部(A)和分支機構(B)分別通過FW_

如何在ASA防火墻上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

Hillstone 基於策略 ipsec-VPN 配置

防火墻、hillstone、vpn Hillstone 基於策略 ipsec-VPN 配置 本文以web界面對hillstone 進行ipsec-vpn 配置,共有兩種方法。 1.建立隧道首先,登陸hillstone防火墻,點選左側ipsec-vpn,然後點新建;然後在彈出的界面進

mac創建ipsec/L2TP隧道(VPN)

ges etc span 地址 -- 密鑰 cnblogs 嘗試 添加 1. 打開網絡偏好設置 2. 點擊+ 3. 輸入VPN的地址和賬號 4. 高級--勾選通過VPN鏈接發送所有流量 5. 添加dns 6. 由於公司VPN使用的是L2TP協議,並且是無共享密鑰的,

IPsec VPN詳解--驗證配置

ipsec vpn五.常用故障調試命令[H3C]disike sa<H3C>debugging ipsec sa<H3C>debugging ike sa<H3C>terminal debugging<H3C>terminal monitor<H3C&g

Centos 6.5 配置L2tp Vpn

Linux(Centos)下配置L2tp Vpn。 1.安裝環境包 yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man 2.安裝 yu

TP路由器的L2tp與IPsec VPN配置

無線企業路由器作為功能全面的企業無線VPN路由器,提供多類VPN功能。其中IPSec VPN可以實現企業站點之間搭建安全的資料傳輸通道,將接入Internet的企業分支機構與總部網路通過安全隧道互聯,實現資源、資訊共享。 本文介紹使無線企業路由器搭建IPSec安全隧道的設定方法。 某公司需

華為路由交換IPSEC VPN 互通 + 上 網配置示例

華為路由交換IPSEC VPN 互通 + 上 網配置示例 1 IPSEC VPN 互通 + 上網配置示例 2、實驗目的 掌握 NAT 的配置 掌握 IPSEC VPN 的基礎配置 3、實驗拓撲 3、配置要點 總公司的配置 sysname ZongGongSi acl numb

BGP MPLS-VPN 實驗實際配置中的細節點

    1.關於SW1中的交換機配置思路:鏈路介面不配IP,需要SVI介面配IP以橋接VLAN之間不可路由的協議,以及提供IP主機到交換機的連線的時候。SVI100介面雙up需要鏈路為trunk或者為access,以及需要存在vlan 100方可達到雙up。 2

在linux環境構建ipsec vpn的過程

第一部分:VPN簡介 Linux平臺上的VPN大致可以為分為三類: IPSec VPN(Openswan,frees/wan,strongswan,KAME)       IPSec(IP Security)是一種較老的也是採用的最為廣泛的VPN技術,是由IETF開發

IPSec VPN原理和配置過程

IPSec協議 IKE Internet Key Exchage, 用於網際網路中金鑰的安全交換 又包括下面二個協議 ISAKMP 定義SA生成,建立等引數. Oakley 利用Diffie-Hellman演算法管理金鑰交換. DH協議保證了在不安全的環境中,金鑰可以被安全的

Cisco IPsec VPN配置

工作原理IPsec協議不是一個單獨的協議,它給出了應用於IP層上網路資料安全的一整套體系結構,包括網路認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Intern

在cisco路由器上配置GRE over IPsec -vpn

crypto map r1-r3 1 ipsec-isakmp            建立crypto map關聯IKE SA、IPsec SA、對等體及PSK認證等  set peer 23.1.1.3  set transform-set r1-r3  match address 100  crypto

CentOS7Strongswan架設IPSec-IKEv1, IKEv2, L2TP VPN,適用於 IOS9,OSX, Windows, Linux

zz from: http://linsir.org/post/how_to_install_IPSec_IKEV2_base_on_strongswan_with_CentOS7 VPN 隧道協議PPTP、L2TP、IPSec和SSLVPN(SSTP,OpenVPN)中安全性逐級提高,相應的受到牆的干擾

Cisco ASA防火牆SSL VPN配置

SSL VPN裝置有很多。如Cisco 路由器、Cisco PIX防火牆、Cisco ASA 防火牆、Cisco VPN3002 硬體客戶端或軟體客戶端。這極大地簡化了遠端端管理和配置。說的簡單點就是在Server 端配置複雜的策略和金鑰管理等命令,而在我們的客戶端上只

IPSec VPN訪問控制(Cisco)

#以A路由器為例(僅允許10.1.1.0/24和10.1.2.0/24的telnet流量互通):crypto map vpnmap 10 ipsec-isakmp set peer 192.168.2.1 set transform-set trans1 set ip access-group 151

nginxvhost配置

try 配置 ror 目錄 charset end stat proxy product 配置文件所在目錄: /usr/local/nginx/conf/vhost/XXX.conf server { listen 9191; server_na