Страницы

17 мая 2016 г.

Настройка Site-to-Site VPN (ASA-Router)

Инструкция демонстрирует процесс настройки Site-to-Site VPN между межсетевым экраном Cisco ASA главного офиса и маршрутизатором расположенным на удаленной площадке, для обеспечения прозрачного доступа к внутренним ресурсам между территориально разделенными сетями.



Топология
Оборудование

Межсетевой экран центрального офиса (ASA-CO) Qemu образ ASAv 9.32
Маршрутизатор филиала (GW-Fil) IOL образ L3-ADVENTERPRISEK9-M-15.4-2T
Маршрутизатор (Internet) IOL образ L3-ADVENTERPRISEK9-M-15.4-2T эмулирует сеть Интернет между территориально удаленными сетями.
Компьютеры (PC1 и PC2) Virtual PC для эмуляции клиентов.

Сети и адреса

1.1.1.2 - внешний IP для ASA Центрального офиса
192.168.1.1 - основной шлюз для сети Центрального офиса (внутренний интерфейс)
192.168.1.0/24 - внутренняя сеть Центрального офиса
1.1.2.2 - внешний IP для Маршрутизатора филиала GW-Fil
192.168.2.1 - основной шлюз для сети филиала (внутренний интерфейс)
192.168.2.0/24 - внутренняя сеть филиала.

Конфигурация оборудования

Эмуляция сети Интернет
hostname Internet
interface ethernet0/0
ip address 1.1.1.1 255.255.255.252
no shutdown
interface ethernet0/1
ip address 1.1.2.1 255.255.255.252
no shutdown
Конфигурация ASA Центрального офиса (ASA-CO)
interface gigabitEthernet0/0
nameif outside
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
interface gigabitEthernet0/1
nameif inside
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
route outside 0.0.0.0 0.0.0.0 1.1.1.1
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
crypto ikev1 enable outside
crypto ikev1 policy 1
encryption 3des
hash md5
authentication pre-share
group 2
lifetime 43200
tunnel-group 1.1.2.2 ipsec-attributes
ikev1 pre-shared-key cisco
crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac
access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto map To-Site2 1 match address FOR-VPN
crypto map To-Site2 1 set peer 1.1.2.2
crypto map To-Site2 1 set security-association lifetime seconds 86400
crypto map To-Site2 1 set ikev1 transform-set TS
crypto map To-Site2 interface outside
access-list FROM-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-group FROM-VPN out interface inside
Конфигурация Маршрутизатора филиала (GW-Fil)
hostname GW-Fil
int ethernet0/0
ip nat outside
exit
int ethernet0/1
ip nat inside
exit
ip access-list extended FOR-NAT
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
exit
ip nat inside source list FOR-NAT interface ethernet0/0 overload
ip route 0.0.0.0 0.0.0.0 1.1.2.1
crypto isakmp policy 1
encryption 3des
hash md5
authentication pre-share
group 2
exit
crypto isakmp key cisco address 1.1.1.2
crypto ipsec transform-set TS esp-3des esp-md5-hmac
exit
ip access-list extended FOR-VPN
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
exit
crypto map CMAP 10 ipsec-isakmp
set peer 1.1.1.2
set transform-set TS
match address FOR-VPN
exit
interface ethernet0/0
crypto map CMAP
exit
interface ethernet0/0
ip address 1.1.2.2 255.255.255.252
no shutdown
exit
interface Ethernet0/1
ip address 192.168.2.1 255.255.255.0
no shutdown

1 комментарий:

  1. на реальном оборудовании, на младших ASA 5505, чтобы назначить ИП на интерфейс, нужно создать interface vlan, ему назначить ИП и nameif и в соответствующий vlan добавить физический интерфейс, т.е. как в примере, прям на интерфейс e0/0 назначить ИП у ASA 5505 нельзя

    Прост для инфы

    ОтветитьУдалить