0%

公司总部与分部-Cisco asa防火墙IPsec-VPN之野蛮模式

一、前言

IPsec Vpn 能实现总部和分部通过加密隧道进行数据传输,保证数据的安全性,IPsec vpn有两种方式:主模式和野蛮模式。根据我们现有的使用场景,总部有固定IP地址,分部是ADSL拨号上网,故采用野蛮模式


1.1 网络架构图

1.2 设备及IP信息

服务器清单

公司 设备 公网IP 网段

192.168.66.0/24
上海总部 Cisco asa 5545 183.222.45.77 192.168.77.0/24

192.168.88.0/24
苏州分部 Cisco asa 5520 183.222.45.77 192.168.120.0/24

二、配置防火墙

2.1 公司分部配置

公司分部属于拨上上网,没有固定公网IP,宽带猫后面连接的是asa防火墙

  • 第一阶段:8.4(2)版本及以上的ASA支持2个版本的IKE,所以在定义密钥的交互形式的时候我们选择IKEV1:
1
2
3
4
5
6
7
8
9
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 28800
tunnel-group 183.222.45.77 type ipsec-l2l //隧道L2L指向总部
tunnel-group 183.222.45.77 ipsec-attributes
ikev1 pre-shared-key xxxxx //xxxx为共享秘钥,总部和分部两边保持一致
  • 第二阶段:主要用于如何安全的交互数据。这里我们采用3des来加密数据,同时哈希算法使用MD5,要想实现L2L的IPSEC-VPN,VPN的模式务必使用tunnel 模式,默认情况下IPSEC-VPN工作在tunnel模式:
1
crypto ipsec ikev1 transform-set  officejf  esp-3des  esp-md5-hmac  //自定义名字,后面调用
  • 定义感兴趣流:感兴趣流一定要写明细的条目,不能为any字样,否则VPN无法建立。同时两边的感兴趣流务必对称,:
1
2
3
#定义分部的120网段去往总部99和6网段的access list
access-list ipsec_vpn extended permit ip 192.168.120.0 255.255.255.0 192.168.99.0 255.255.255.0
access-list ipsec_vpn extended permit ip 192.168.120.0 255.255.255.0 192.168.6.0 255.255.255.0
  • 配置NAT豁免:主要作用于去往隧道加密的流量不被防火墙NAT转换
1
2
3
4
5
6
7
8
9
object network local-vpn-120         //分部办公室120网段
subnet 192.168.120.0 255.255.255.0
object network remote-vpn-99 //总部99网段
subnet 192.168.99.0 255.255.255.0
object network remote-vpn-6 //总部6网段
subnet 192.168.6.0 255.255.255.0
# nat免流:
nat (inside,outside) source static local-vpn-120 local-vpn-120 destination static remote-vpn-99 remote-vpn-99
nat (inside,outside) source static local-vpn-120 local-vpn-120 destination static remote-vpn-6 remote-vpn-6
  • 创建crypto map 调用第一、二阶段:
1
2
3
4
crypto map ipsec-map 10 match address  ipsec_vpn   //调用access list
crypto map ipsec-map 10 set pfs group5 //这里必须定义为group1或group5
crypto map ipsec-map 10 set peer 183.222.45.77 //指向总部公网IP
crypto map ipsec-map 10 set ikev1 transform-set officejf //此处调用
  • 公网outside接口调用crypto map :
1
2
crypto map ipsec-map interface outside
crypto ikev1 enable outside

2.2 公司总部配置

(公司总部有固定公网IP)

  • 第一阶段:8.4(2)版本及以上的ASA支持2个版本的IKE,所以在定义密钥的交互形式的时候我们选择IKEV1:
1
2
3
4
5
6
7
8
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes\\这里必须使用系统默认的组来做动态L2L
ikev1 pre-shared-key xxxxx //分部定义的共享秘钥,这里保持一致
  • 第二阶段:主要用于如何安全的交互数据。
1
crypto ipsec ikev1 transform-set  jf_office  esp-3des  esp-md5-hmac  //自定义名字,后面调用
  • 定义感兴趣流:感兴趣流一定要写明细的条目,不能为any字样,否则VPN无法建立。同时两边的感兴趣流务必对称:
1
2
access-list ipsec_vpn extended permit ip 192.168.99.0  255.255.255.0 192.168.120.0  255.255.255.0
access-list ipsec_vpn extended permit ip 192.168.6.0 255.255.255.0 192.168.120.0 255.255.255.0 //定义总部的99和6网段去往分部的120网段的access list
  • 配置NAT豁免:主要作用于去往隧道加密的流量不被防火墙NAT转换
1
2
3
4
5
6
7
8
9
object network local-vpn-6            //总部6网段
subnet 192.168.6.0 255.255.255.0
object network local-vpn-99 //总部99网段
subnet 192.168.99.0 255.255.255.0
object network jx-office-120 //分部办公室120网段
subnet 192.168.120.0 255.255.255.0
#nat免流:
nat (inside,outside) source static local-vpn-6 local-vpn-6 destination static jx-office-120 jx-office-120
nat (inside,outside) source static local-vpn-99 local-vpn-99 destination static jx-office-120 jx-office-120
  • 创建crypto map 调用第一、二阶段(这里必须使用动态map调用转换集,然后用静态map关联):
1
2
3
4
5
6
7
crypto dynamic-map jfdymap 10 match address ipsec_vpn
crypto dynamic-map jfdymap 10 set pfs group5
crypto dynamic-map jfdymap 10 set ikev1 transform-set jf_office
crypto map jfvpnmap 10 ipsec-isakmp dynamic jfdymap //静态调用动态
crypto map jfvpnmap interface outside //在outside口上启用
crypto ikev1 enable outside
(流量触发--自动建立VPN隧道(必须从动态一端触发))

2.3 测试

从分公司往总部进行 ping 192.168.99.xx主动建立连接

2.4 常用隧道查看命令

1
2
3
4
show crypto isakmp sa  
show crypto ipsec sa
show crypto isakmp stats
show crypto ipsec stats
坚持原创技术分享,您的支持将鼓励我继续创作!
-------------本文结束感谢您的阅读-------------