当前位置:首页 >> 信息与通信 >>

ASA8.4 VPN试验系列一


ASA8.4 VPN 试验系列一:IKEv1 L2L
最近一直在研究 CCNP Security Firewall v1.0, 现在基本算是研究完毕了! 发现 Cisco ASA 8.4 的变化特别大,真的是越来越像 checkpoint 防火墙了,不管是 NAT 还是最近才出现的全局 访问控制列表,都和 cp 防火墙如出一辙。Firewall v1.0 研究完毕后,下

一个研究目标就是 VPN v1.0,主要介绍 ASA 上的 VPN。ASA8.4 之后的 VPN 变化也特别大,主要是 IKEv2 的 引入,IOS15.1T(现在好像还下载不了)也开始支持 IKEv2 了。可以看出来 IKEv2 是一个 必然的趋势,所以最近我会花不少时间来研究它。当然研究新技术之前,先了解一下在 ASA8.4 如何配置传统的 IKEv1 的 VPN 是很有必要的。下面我就对 ASA8.4 上传统 IKEv1 L2LVPN 进行介绍。(ASA8.4 后续 VPN 试验会陆续推出) 试验会陆续推出)

试验拓扑: 试验拓扑:

Outside 路由器配置: 路由器配置:
hostname Outside ! boot-start-marker boot-end-marker ! enable password cisco

! no aaa new-model memory-size iomem 25 ip cef ! ! ! ! no ip domain lookup ! multilink bundle-name authenticated ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 202.100.1.10 ! ! crypto ipsec transform-set cisco esp-des esp-md5-hmac ! crypto map cisco 10 ipsec-isakmp set peer 202.100.1.10

set transform-set cisco match address vpn ! ! ! ! ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0 ip address 202.100.1.1 255.255.255.0 speed auto crypto map cisco ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 202.100.1.10 ! ! no ip http server no ip http secure-server ! ip access-list extended vpn permit ip host 1.1.1.1 host 2.2.2.2 ! ! ! ! control-plane

! ! line con 0 line aux 0 line vty 0 4 password cisco login line vty 5 15 password cisco login ! end

ASA 配置: 配置:
hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif Outside security-level 0 ip address 202.100.1.10 255.255.255.0 ! interface Ethernet0/1 nameif Inside security-level 100

ip address 10.1.1.10 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! ftp mode passive object network Inside-Router-Loop0 subnet 2.2.2.0 255.255.255.0 object network Remote-vpn-address subnet 1.1.1.0 255.255.255.0 access-list vpn extended permit ip host 2.2.2.2 host 1.1.1.1 (感兴趣流) pager lines 24 mtu Outside 1500 mtu Inside 1500

no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400

nat (Inside,Outside) source static Inside-Router-Loop0 Inside-Router-Loop0 destination static Remote-vpn-address Remote-vpn-address(使用 Twice identity NAT 旁路掉 VPN 感 ( 兴趣流) 兴趣流)
!

object network Inside-Router-Loop0(普通上网用 PAT) ( ) nat (Inside,Outside) dynamic interface
route Outside 0.0.0.0 0.0.0.0 202.100.1.1 1(解决路由问题) (解决路由问题) route Inside 2.2.2.2 255.255.255.255 10.1.1.1 1

timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact crypto ipsec ikev1 transform-set cisco esp-des esp-md5-hmac (第二阶段转换集) 第二阶段转换集) crypto map cry-map 10 match address vpn (crypto map 配置) 配置) crypto map cry-map 10 set peer 202.100.1.1

crypto map cry-map 10 set ikev1 transform-set cisco crypto map cry-map interface Outside (调用 crypto map 到外部接口) 到外部接口) crypto ikev1 enable Outside (外部接口激活 IKEv1) ) crypto ikev1 policy 1 (IKEv1 第一阶段策略) 第一阶段策略) authentication pre-share encryption des hash sha group 1 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn anyconnect-essentials tunnel-group 202.100.1.1 type ipsec-l2l (tunnel-group 配置) 配置) tunnel-group 202.100.1.1 ipsec-attributes ikev1 pre-shared-key cisco ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy

class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context Cryptochecksum:1b511154bb6ceb038c38677ae2b15c67 : end

Inside 路由器配置: 路由器配置:
hostname Inside ! boot-start-marker boot-end-marker

! ! no aaa new-model ip cef ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0 ip address 10.1.1.1 255.255.255.0

speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.1.1.10 ! ! no ip http server no ip http secure-server ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end


相关文章:
ASA8.4 VPN试验系列四_诡异的IKEv2 L2L VPN
ASA8.4 VPN 实验这个系 列博文就到此结束了,我还会继续深入的研究 IKEv2 VPN 技术,会在后续的 CCNP Security VPNv1.0 课程中继续进行介绍,希望大家继续关注。...
8.4asa版本vpn
8.4asa版本vpn_信息与通信_工程科技_专业资料。8.4asa版本vpnciscoasa# sh run : Saved : ASA Version 8.4(2) ! hostname ciscoasa enable password 8Ry2YjIy...
Cisco ASA 8.4链路冗余+VPN配置
Cisco ASA 8.4(8.0)链路冗余+VPN 配置 一、 网络拓扑 本部分 ASA 主要使用 SLA、NAT、ACL、DPD 及 IPSec VPN 等技 术 二、 设备基本网络配置 R1 的基本...
ASA8.4 ASDM EasyVPN配置
ASA8.4 ASDM EasyVPN配置_IT/计算机_专业资料。一、基本配置 interface Vlan1 nameif outside security-level 0 ip address 192.168.1.250 255.255.255.0 ! ...
ASA VPN配置完整版
ASA VPN配置完整版_计算机硬件及网络_IT/计算机_专业资料。ASA VPN 配置完整版...基于上述原因,所以在上一小节的实验中,在上海分公司路由器 R1 上配置连接 到...
ASA8.6-VPN配置手册
ASA 8.6 版本 VPN 配置手册 SSLVPN-Anyconnect 前提条件(Prerequisite) 在准备...VPN典型配置手册 245人阅读 42页 1下载券 修改实验手册Linux2.6内... 195...
5505(8.4)版本vpn+端口映射+pppoe
5505(8.4)版本vpn+端口映射+pppoe_计算机硬件及网络_IT/计算机_专业资料。5505(8.4)版本vpn+端口映射+pppoeHOST# show run : Saved : ASA Version 8.4(3) ! ...
ASA8.6 、SSLVPN 、配置手册
ASA8.6 、SSLVPN 、配置手册_计算机硬件及网络_IT/计算机_专业资料。基于ASA8.6 SSLVPN配置手册ASA 8.6 版本 SSLVPN 配置手册前提条件(Prerequisite) : 在准备进行...
cisco asa 8.2与8.4的nat区别
201.100.1.10/1028 flags ri 8.4 ASA8-4# ...vpn) 8.0 nat (inside) 0 10.1.1.0 255....思科ASA系列防火墙NAT解... 5页 免费 ASA 8.3+...
ASA5520防火墙VPN配置详解
ASA5520防火墙VPN配置详解_计算机硬件及网络_IT/计算机_专业资料。ASA5520防火墙VPN配置详解ASA Version 7.2(3) ! hostname ciscoasa enable password 8Ry2YjIyt7...
更多相关标签: