0%

Cisco asa防火墙与深信服设备打通IPsec-VPN

一、前言

  • 为了实现北京分部能够和苏州总部内部局域网互通,先通过两边的设备打通IPSEC 点到点VPN隧道
  • 设备:Cisco asa 5545(总部)、深信服SG设备(北京)

二、配置Cisco asa防火墙

2.1 建立地址对象

  • 苏州总部的三个网段109、110、111
  • 北京的网段30网段
1
2
3
4
5
6
7
8
object network sz-109
subnet 192.168.109.0 255.255.255.0
object network sz-110
subnet 192.168.110.0 255.255.255.0
object network sz-172
subnet 172.16.5.0 255.255.255.0
object network beijinglan
subnet 192.168.1.0 255.255.255.0 --北京分部网段
  • 建立一个组SZ-VPN-BJ,把上面的苏州总部三个网段添加进去,NAT转换的时候可以直接调用此组对象
1
2
3
4
object-group network SZ-VPN-BJ   
network-object object sz-109
network-object object sz-110
network-object object sz-172

2.2 创建Access-list访问列表

  • 允许苏州网段访问北京网段
1
access-list outside_cryptomap extended permit ip object-group SZ-VPN-BJ  object beijinglan

2.3 Nat转换

1
nat (inside,outside) source static  SZ-VPN-BJ  SZ-VPN-BJ  destination  static  beijinglan  beijinglan  no-proxy-arp  route-lookup

2.4 配置第一阶段ikev1

  • Cisco asa 8.4(2)版本及以上的ASA支持2个版本的IKE,在此处我们选择IKEV1
  • 创建一个策略名为120,定义两边共同的协商算法
1
2
3
4
5
6
crypto ikev1 policy 10                                    -------------
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800
  • 配置一个静态VPN对等项和预共用的键的一个隧道组
1
2
3
tunnel-group 118.186.xx.xx type ipsec-l2l   --118.186为北京分部IP
tunnel-group 118.186.xx.xx ipsec-attributes
ikev1 pre-shared-key woshibook --配置一个公钥
  • 创建crypto map
1
2
3
4
5
6
7
crypto ipsec ikev1 transform-set office  esp-3des esp-md5-hmac 
crypto map outside_map 10 match address outside_cryptomap ------调用访问列表
crypto map outside_map 10 set pfs
crypto map outside_map 10 set peer 118.186.xx.xx ------对端北京地址
crypto map outside_map 10 set ikev1 transform-set office
crypto map outside_map interface outside --------------在outside接口启用ipsecvpn
crypto ikev1 enable outside

三、分部深信服SG配置

3.1 VPN配置

  • 菜单中找到VPN配置

image.png

  • 点击第一阶段新增

image.png

  • 填写对端固定ip及共享秘钥(跟总部asa对端保持一致)

image.png
image.png
image.png

  • 菜单中点击第二阶段,配置入站出站策略:
  • 先配置一个苏州总部的172网段的入站策略

image.png

  • 再配置一个出站策略 ,北京网段去往苏州总部的流量策略

image.png
image.png

  • 在安全选项中点击新增,参数要和对端保持一致

image.png

image.png

到此配置结束。。。有问题请留言讨论

坚持原创技术分享,您的支持将鼓励我继续创作!
-------------本文结束感谢您的阅读-------------