当前位置:首页 >> 信息与通信 >>

ASA8.4 VPN试验系列一


ASA8.4 VPN 试验系列一:IKEv1 L2L
最近一直在研究 CCNP Security Firewall v1.0, 现在基本算是研究完毕了! 发现 Cisco ASA 8.4 的变化特别大,真的是越来越像 checkpoint 防火墙了,不管是 NAT 还是最近才出现的全局 访问控制列表,都和 cp 防火墙如出一辙。Firewall v1.0 研究完毕后,下

一个研究目标就是 VPN v1.0,主要介绍 ASA 上的 VPN。ASA8.4 之后的 VPN 变化也特别大,主要是 IKEv2 的 引入,IOS15.1T(现在好像还下载不了)也开始支持 IKEv2 了。可以看出来 IKEv2 是一个 必然的趋势,所以最近我会花不少时间来研究它。当然研究新技术之前,先了解一下在 ASA8.4 如何配置传统的 IKEv1 的 VPN 是很有必要的。下面我就对 ASA8.4 上传统 IKEv1 L2LVPN 进行介绍。(ASA8.4 后续 VPN 试验会陆续推出) 试验会陆续推出)

试验拓扑: 试验拓扑:

Outside 路由器配置: 路由器配置:
hostname Outside ! boot-start-marker boot-end-marker ! enable password cisco

! no aaa new-model memory-size iomem 25 ip cef ! ! ! ! no ip domain lookup ! multilink bundle-name authenticated ! ! ! ! ! archive log config hidekeys ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 202.100.1.10 ! ! crypto ipsec transform-set cisco esp-des esp-md5-hmac ! crypto map cisco 10 ipsec-isakmp set peer 202.100.1.10

set transform-set cisco match address vpn ! ! ! ! ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0 ip address 202.100.1.1 255.255.255.0 speed auto crypto map cisco ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 202.100.1.10 ! ! no ip http server no ip http secure-server ! ip access-list extended vpn permit ip host 1.1.1.1 host 2.2.2.2 ! ! ! ! control-plane

! ! line con 0 line aux 0 line vty 0 4 password cisco login line vty 5 15 password cisco login ! end

ASA 配置: 配置:
hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif Outside security-level 0 ip address 202.100.1.10 255.255.255.0 ! interface Ethernet0/1 nameif Inside security-level 100

ip address 10.1.1.10 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! ftp mode passive object network Inside-Router-Loop0 subnet 2.2.2.0 255.255.255.0 object network Remote-vpn-address subnet 1.1.1.0 255.255.255.0 access-list vpn extended permit ip host 2.2.2.2 host 1.1.1.1 (感兴趣流) pager lines 24 mtu Outside 1500 mtu Inside 1500

no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400

nat (Inside,Outside) source static Inside-Router-Loop0 Inside-Router-Loop0 destination static Remote-vpn-address Remote-vpn-address(使用 Twice identity NAT 旁路掉 VPN 感 ( 兴趣流) 兴趣流)
!

object network Inside-Router-Loop0(普通上网用 PAT) ( ) nat (Inside,Outside) dynamic interface
route Outside 0.0.0.0 0.0.0.0 202.100.1.1 1(解决路由问题) (解决路由问题) route Inside 2.2.2.2 255.255.255.255 10.1.1.1 1

timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact crypto ipsec ikev1 transform-set cisco esp-des esp-md5-hmac (第二阶段转换集) 第二阶段转换集) crypto map cry-map 10 match address vpn (crypto map 配置) 配置) crypto map cry-map 10 set peer 202.100.1.1

crypto map cry-map 10 set ikev1 transform-set cisco crypto map cry-map interface Outside (调用 crypto map 到外部接口) 到外部接口) crypto ikev1 enable Outside (外部接口激活 IKEv1) ) crypto ikev1 policy 1 (IKEv1 第一阶段策略) 第一阶段策略) authentication pre-share encryption des hash sha group 1 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn anyconnect-essentials tunnel-group 202.100.1.1 type ipsec-l2l (tunnel-group 配置) 配置) tunnel-group 202.100.1.1 ipsec-attributes ikev1 pre-shared-key cisco ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy

class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context Cryptochecksum:1b511154bb6ceb038c38677ae2b15c67 : end

Inside 路由器配置: 路由器配置:
hostname Inside ! boot-start-marker boot-end-marker

! ! no aaa new-model ip cef ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0 ip address 10.1.1.1 255.255.255.0

speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.1.1.10 ! ! no ip http server no ip http secure-server ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end


相关文章:
ASA8.4 VPN试验系列四_诡异的IKEv2 L2L VPN
ASA8.4 VPN试验系列四_诡异的IKEv2 L2L VPN_信息与通信_工程科技_专业资料。...ftp mode passive access-list yeslab-vpn extended permit ip 192.168.1.0 ...
8.4asa版本vpn
8.4asa版本vpn_信息与通信_工程科技_专业资料。8.4asa版本vpnciscoasa# sh run : Saved : ASA Version 8.4(2) ! hostname ciscoasa enable password 8Ry2YjIy...
Cisco ASA 8.4链路冗余+VPN配置
Cisco ASA 8.4(8.0)链路冗余+VPN 配置 一、 网络拓扑 本部分 ASA 主要使用 SLA、NAT、ACL、DPD 及 IPSec VPN 等技 术 二、 设备基本网络配置 R1 的基本...
ASA8.4 ASDM EasyVPN配置
ASA8.4 ASDM EasyVPN配置_IT/计算机_专业资料。一、基本配置 interface Vlan1 nameif outside security-level 0 ip address 192.168.1.250 255.255.255.0 ! ...
ASA8.3_EZVPN配置实验
ASA8.3_EZVPN配置实验_计算机硬件及网络_IT/计算机_专业资料。应该说 ASA8.4 部分 IKEv1 的 vpn 和之前 8.0.3 时代的配置几乎是一样的,仅仅只是增加了 一个...
cisco asa 8.2与8.4的nat区别
201.100.1.10/1028 flags ri 8.4 ASA8-4# ...vpn) 8.0 nat (inside) 0 10.1.1.0 255....思科ASA系列防火墙NAT解... 5页 免费 ASA 8.3+...
ASA防火墙 NAT新版老版的配置方法对比
ASA防火墙 NAT新版老版的配置方法对比_计算机硬件及网络_IT/计算机_专业资料。ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过 8.4ASA,改变的还有 VPN...
ASA_8.3基本配置
ciscoasa(config)# object network remote_vpn_network ciscoasa(config-network-object)# subnet 10.10.11.0 255.255.255.0 ② 以同样的方法加添 object 名...
ASA防火墙 NAT新版老版的配置方法对比
还是发布出来 这里先提供在线查阅,稍后会提供 PDF 版给大家下载 ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过 8.4ASA,改变的还有 VPN,加入了 Ike...
ASA策略全图
任何 VPN 连接请求 抵达 ASA 后,ASA 的第一个任务就是找到对应的 Tunnel-...应该说 Group-Policy 的配置与继承关系是比较复杂的,我们会通过后续的试验来说明...
更多相关标签:
asa 8.4 ipsec vpn | asa 8.4 easy vpn | asa 8.4 vpn | asa 8.4 remote vpn | gns3 1.5 安装asa8.4 | asa 8.4 nat | asa5520配置实例8.4 | cisco asa 8.4 nat |