博主QQ819594300

博客地址:http://zpf666.blog.51cto.com/

有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!

本文章介绍三个部分内容:

①ipsec ***故障排查

②如何在ASA防火墙上配置ipsec ×××

③防火墙与路由器配置ipsec ×××的区别

说明:在ASA防火墙配置ipsec ×××与路由器的差别不是很大,而且原理相同,就是个别命令不一样。

一、ipsec ×××故障排查

1、show crypto isakmp sa命令

通过这个命令可以了解管理连接所处的状态:

如何在ASA防火墙上实现ipsec ***_第1张图片

2、debug crypto isakmp命令

通过这个命令如果想更加详细的知道连接的整个过程:

该命令在实际工作中最常用于诊断和排查管理连接出现问题的命令。

①故障实例(一)

将路由器的加密算法有des改为3des,这时对等体阶段1的加密算法显然不匹配,通过debug crypto isamkp命令可以很清楚的看到这点。

如何在ASA防火墙上实现ipsec ***_第2张图片

说明:路由器依然会逐条对比传输集,之后发现encryption algorithm offered does not match policy!(加密算法不匹配),所以atts are not acceptable(策略不被接受)。然后路由器会与本地的默认策略进行对比,如果依然没有匹配策略,就会得出结论no iffers accepted(没有匹配策略),最后路由器回到NM_NO_STATE状态。

②故障实例(二)

路由器两端设置的预共享秘钥key不同,这时阶段1的传输集是匹配的,但后续的验证过程无法通过,这一点也可以通过debug crypto isakmp命令看到。

如何在ASA防火墙上实现ipsec ***_第3张图片

说明:第一部分说明匹配的传输集已经找到(atts are acceptable),开始后续的秘钥交换以及身份验证的过程,但第二部分中“IKE message from 10.0.0.1 failed its sanity check or is malformed”说明进行身份验证的信息没有通过完整性检测或缺失部分信息,即验证失败。最后路由器就会停在NM_KEY_EXCH状态,这点可以通过show crypto isakmp sa命令查看。

二、在cisci asa防火墙上配置实现ipsec ***

1、实验拓扑

如何在ASA防火墙上实现ipsec ***_第4张图片

2、实验目标:

1)分支公司的开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。

2)分公司的其他客户端(dmz)可以访问Internet。

3、注意事项

1)asa防火墙网卡模块修改为pcnet,对防火墙右键---选择“配置”。

如何在ASA防火墙上实现ipsec ***_第5张图片

如何在ASA防火墙上实现ipsec ***_第6张图片

2)开启asa之后弹出的界面不要关闭

如何在ASA防火墙上实现ipsec ***_第7张图片

4、实验步骤

1)配置所有设备的ip地址和路由

配置R4:

wKiom1ktel7CVjcVAADu8noMmpo246.jpg

wKioL1ktel7xiWwhAAB01h3vmvA017.jpg

配置R1:

wKiom1ktel_Cy6bsAADopX0NqyY592.jpg

wKioL1ktel-SGbvQAACVIgp_8Nk657.jpg

配置ASA1:

如何在ASA防火墙上实现ipsec ***_第8张图片

如何在ASA防火墙上实现ipsec ***_第9张图片

如何在ASA防火墙上实现ipsec ***_第10张图片

wKioL1ktemGytH8gAABYpTLeBRA612.jpg

配置R2:

wKiom1ktemKwamScAADWRFdR_gQ865.jpg

wKiom1ktemKAPN1KAAEDrLz9pl4348.jpg

配置ASA2:

如何在ASA防火墙上实现ipsec ***_第11张图片

如何在ASA防火墙上实现ipsec ***_第12张图片

wKioL1ktemPxeqMAAABfXlp62VU361.jpg

配置R3:

wKiom1ktemSSWxu3AADYR09vNHA255.jpg

wKioL1ktemTQ-XviAAB4yr7zoXQ085.jpg

2)配置ASA1防火墙×××

①配置NAT并启动nat-control

如何在ASA防火墙上实现ipsec ***_第13张图片

②配置NAT豁免(即带ACL的nat 0)

wKioL1ktemWg44KGAAA7Oa_biko013.jpg

access-list nonat extended permit ip 192.168.1.0

255.255.255.0  172.16.10.0 255.255.255.0  

(截图看不清楚的我又写了一遍)

wKioL1ktfHLSLLOeAABq2Uk4bCU478.jpg

说明:0代表该条目不用被NAT转换,亦称为“豁免”。这里需要反过来想问题,之前配置路由器的时候都是匹配ACL的享有NAT的服务,这里正好相反,匹配ACL的可以“豁免”NAT的服务。但有个问题需要注意,很多人会说NAT豁免根本没有意义,用ACL的deny就可以实现NAT豁免。

如何在ASA防火墙上实现ipsec ***_第14张图片

③建立ISAKMP策略:

如何在ASA防火墙上实现ipsec ***_第15张图片

④配置预共享密钥

wKiom1ktemfCidmdAABX5xiJVjk097.jpg

⑤配置crypto ACL

wKiom1ktemixm2aQAAA93U8Qq5I958.jpg

access-list yf*** extended permit ip 192.168.1.0

255.255.255.0  172.16.10.0255.255.255.0

(截图看不清楚的我又写了一遍)

⑥配置交换数据连接的传输集

wKioL1ktemjw4zQIAADgEU3-k7k827.jpg

⑦配置crypto map

如何在ASA防火墙上实现ipsec ***_第16张图片

⑧将crypto map应用到outside接口上使其生效。

wKioL1ktemnSnPQEAABa4LCtO6k847.jpg

3)配置ASA2的×××(配置过程和ASA一样,就是对等体的IP地址不一样,另外ASA2不用做NAT)

如何在ASA防火墙上实现ipsec ***_第17张图片

5、测试

1)在R1上pingR3,可以ping通(因为有***)

wKiom1kteoGwcL8-AACig_yPcGY212.jpg

2)在R2上开启telnet(因为防火墙默认拒绝一切ping)

如何在ASA防火墙上实现ipsec ***_第18张图片

3)在R1上telnet R2,提示不能访问(说明R1不能访问internet)

如何在ASA防火墙上实现ipsec ***_第19张图片

4)在R4上telnet R2(可以访问,因为R1做了动态PAT或静态NAT)

如何在ASA防火墙上实现ipsec ***_第20张图片

实验完成说明:到此为止实现了,开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。

分公司的其他客户端可以访问Internet。

三、防火墙和路由器的区别

说明:防火墙由于自身IOS原因,在配置命令方面与路由器有一定区别,但并不非常明显。这里重点介绍两个方面:

1、默认配置的区别

在建立管理连接的过程中,cisco asa防火墙和路由器默认情况下使用的参数不同。

Cisco asa防火墙使用的参数如下

如何在ASA防火墙上实现ipsec ***_第21张图片

在ASA上查看参数:

如何在ASA防火墙上实现ipsec ***_第22张图片

在路由器上使用show crypto isakmp policy:

如何在ASA防火墙上实现ipsec ***_第23张图片

防火墙不支持命令show  crypto isakmp  policy,要想查看管理连接的默认参数,需要在初始配置下启用ISAKMP策略,然后通过命令show  run进程观察。与路由器相比,默认的加密变为3DES,默认的DH组使用2,默认的设备验证方法变为预共享密钥,而默认的HASH算法以及生存周期没有变化。

ASA防火墙采用了更为安全的默认设置,这是cisco公司设备技术个新的一种表现。需要注意的是,如果ipsec对等体双方是ASA防火墙和cisco路由器,那么使用默认的ISAKMP策略是无法建立连接的

2、IKE协商默认是否开启

默认情况下,IKE协商在路由器是开启的,而在ASA防火墙是关闭的。因此,在ASA防火墙中必须使用命令crypto  isakmp enable outside

开启IKE协商。

3、隧道组特性的引入

严格意义上说,这并不能算是防火墙和路由器的配置差异,而是防火墙6.x版本升级到7.0版本引入的新特性,它主要用于简化ipsec会话的配置和管理。而且路由器配置共享密钥key的命令(crypto isakmp key key-string addresspeer-address),ASA防火墙依然支持。

4、接口安全级别对于ipsec流量的影响。

防火墙存在一种限制,如果流量从一个接口进入,就不能从相同安全级别的端口流出。即流量不能在统一安全级别的端口之间传输,这主要是从安全方面考虑而设定的一种特性,但可能对ipsec流量造成一定的影响。

假如ASA防火墙处于网络的中心节点(如公司总部),为了实现对分公司网络流量的统一管理,要求分公司之间的访问流量必须通过总公司。这就会出现上述情况,造成分公司之间无法通信。这时就需要使用如下命令来实现。

如何在ASA防火墙上实现ipsec ***_第24张图片

wKiom1kteoajA75SAABhVt-XDzU564.jpg

上面命令最后两个参数的区别:

Intra-interface参数允许流量进入和离开同一个接口,多用于L2L会话中的中心设备;

inter-interface参数允许流量进入和离开具有相同安全级别的两个不同的接口,多用于远程访问×××会话中的Easy ×××网关。