Страницы

11 мая 2016 г.

Настройка Site-to-Site VPN (ASA-ASA)

Инструкция демонстрирует процесс настройки Site-to-Site VPN средствами межсетевых экранов Cisco ASA для обеспечения прозрачного доступа к внутренним ресурсам между территориально разделенными сетями.

Топология

Оборудование
Межсетевой экран центрального офиса (ASA-CO) Qemu образ ASAv 9.32
Межсетевой экран удаленного офиса (ASA-Fil) Qemu образ ASAv 9.32
Маршрутизатор (Internet) IOL образ L3-ADVENTERPRISEK9-M-15.4-2T для эмуляции сети Интернет между территориально удаленными сетями
Компьютеры (PC1 и PC2) Virtual PC для эмуляции клиентов в Центральном офисе и филиале

Сети и адреса
1.1.1.2 - внешний IP для ASA Центрального офиса
192.168.1.1 - основной шлюз для сети Центрального офиса (внутренний интерфейс)
192.168.1.0/24 - внутренняя сеть Центрального офиса
1.1.2.2 - внешний IP для ASA филиала
192.168.2.1 - основной шлюз для сети филиала (внутренний интерфейс)
192.168.2.0/24 - внутренняя сеть филиала

Настройка Site to site VPN на Cisco ASA
Настройка интерфейсов
interface gigabitEthernet0/0
nameif outside
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
interface gigabitEthernet0/1
nameif inside
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
Маршрут по умолчанию через outside через IP провайдера
route outside 0.0.0.0 0.0.0.0 1.1.1.1
Настройка инспектирования трафика
Определение class-map
class-map inspection_default
match default-inspection-traffic
Определение policy-map
policy-map global_policy
class inspection_default
Инспектирование ICMP
inspect icmp
Делаем политику глобальной
service-policy global_policy global
Настройка VPN первой фазы
crypto ikev1 enable outside
crypto ikev1 policy 1
encryption 3des
hash md5
authentication pre-share
group 2
lifetime 43200
Настройка ключа аутентификации и пира
tunnel-group 1.1.2.2 type ipsec-l2l
tunnel-group 1.1.2.2 ipsec-attributes
ikev1 pre-shared-key cisco
Настройка VPN вторая фаза
crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac
Определяем какой трафик шифровать
access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Создание криптокарты
crypto map To-Site2 1 match address FOR-VPN
crypto map To-Site2 1 set peer 1.1.2.2
crypto map To-Site2 1 set security-association lifetime seconds 86400
crypto map To-Site2 1 set ikev1 transform-set TS
Привязка криптокарты к интерфейсу
crypto map To-Site2 interface outside
Разрешаем трафик
access-list FROM-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-group FROM-VPN out interface inside
Конфигурация оборудования

Эмуляция сети Интернет
enable
configure terminal
interface ethernet0/0
ip address 1.1.1.1 255.255.255.252
no shutdown
interface ethernet0/1
ip address 1.1.2.1 255.255.255.252
no shutdown
Конфигурация ASA Центрального офиса (ASA-CO)
enable
configure terminal
interface gigabitEthernet0/0
nameif outside
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
interface gigabitEthernet0/1
nameif inside
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
route outside 0.0.0.0 0.0.0.0 1.1.1.1
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
crypto ikev1 enable outside
crypto ikev1 policy 1
encryption 3des
hash md5
authentication pre-share
group 2
lifetime 43200
tunnel-group 1.1.2.2 type ipsec-l2l
tunnel-group 1.1.2.2 ipsec-attributes
ikev1 pre-shared-key cisco
crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac
access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto map To-Site2 1 match address FOR-VPN
crypto map To-Site2 1 set peer 1.1.2.2
crypto map To-Site2 1 set security-association lifetime seconds 86400
crypto map To-Site2 1 set ikev1 transform-set TS
crypto map To-Site2 interface outside
access-list FROM-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-group FROM-VPN out interface inside
write mem
Конфигурация ASA филиала (ASA-Fil)
enable
configure terminal
interface gigabitEthernet0/0
nameif outside
ip address 1.1.2.2 255.255.255.252
no shutdown
exit
interface gigabitEthernet0/1
nameif inside
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
route outside 0.0.0.0 0.0.0.0 1.1.2.1
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
crypto ikev1 enable outside
crypto ikev1 policy 1
encryption 3des
hash md5
authentication pre-share
group 2
lifetime 43200
tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 ipsec-attributes
ikev1 pre-shared-key cisco
crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac
access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map To-Site1 1 match address FOR-VPN
crypto map To-Site1 1 set peer 1.1.1.2
crypto map To-Site1 1 set security-association lifetime seconds 86400
crypto map To-Site1 1 set ikev1 transform-set TS
crypto map To-Site1 interface outside
access-list FROM-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-group FROM-VPN out interface inside
write mem
Проверка
Проверка связи. Выполнить команду ping с компьютера Центрального офиса в Филиал, и наоборот.

Проверка технологического туннеля на маршрутизаторах. Выполнить команду show crypto isakmp sa из привилегированного режима.


Для проверка ipsec туннеля выполните команду show crypto ipsec sa из привилегированного режима.
ASA-Fil# show crypto ipsec sa
interface: outside
    Crypto map tag: To-Site1, seq num: 1, local addr: 1.1.2.2
      access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
      local ident (addr/mask/prot): (192.168.2.0/255.255.255.0/1)
      remote ident (addr/mask/prot): (192.168.1.0/255.255.255.0/1)
      current_peer: 1.1.1.2

      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 1.1.2.2/0, remote crypto endpt.: 1.1.1.2/0
      path mtu 1500, ipsec overhead 58(36), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: D47359DB
      current inbound spi : 8330FA69
    inbound esp sas:
      spi: 0x8330FA69 (2201025129)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 4096, crypto-map: To-Site1
         sa timing: remaining key lifetime (kB/sec): (4373999/86392)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x0000001F
    outbound esp sas:
      spi: 0xD47359DB (3564329435)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, IKEv1, }
         slot: 0, conn_id: 4096, crypto-map: To-Site1
         sa timing: remaining key lifetime (kB/sec): (4373999/86392)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001


Автор:
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)