时间:2021-07-01 10:21:17 帮助过:61人阅读
IPSec VPN(二) 2011-08-01 01:18:28 |分类: 路由交换 |标签: | 字号 大 中 小 订阅 实验需求: R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问 两台防火墙之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体成功建立IPSec连接 外
IPSec VPN(二)
2011-08-01 01:18:28| 分类: 路由交换 | 标签: |字号大中小 订阅
实验需求:
R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问
两台防火墙之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体成功建立IPSec连接
外网采用外部地址,内网采用私用地址。
网络拓扑:
小凡连线
CO-PIX1 E0/0 <----> XPC P0/1
CO-PIX1 E1/0 <----> Router1 E0/1
CO-PIX2 E0/0 <----> VPCS V0/1
CO-PIX2 E1/0 <----> Router2 E0/1
Router1 E0/0 <----> Router2 E0/0
详细实验步骤及结果验证:
ASA1(config)# inter e0
ASA1(config-if)#
ASA1(config-if)# ip add 192.168.1.1 255.255.255.0
ASA1(config-if)#
ASA1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)#
ASA1(config-if)# no shut
ASA1(config-if)# inter e1
ASA1(config-if)#
ASA1(config-if)# ip add 192.168.2.1 255.255.255.0
ASA1(config-if)#
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)#
ASA1(config-if)# no shut
SA1(config-if)# route outside 0.0.0.0 0.0.0.0 192.168.2.2 #设置 ASA1 的默认路由
ASA1(config)# access-list 10 permit ip any any
ASA1(config)# access-group 10 in interface outside #建立 ACL ,保证 ASA 的通信
SA1(config)# crypto isakmp policy 10 #建立 IKE 的策略
SA1(config)# crypto ipsec transform-set abc esp-md5-hmac esp-aes #建立交换数据连接的传输集
ASA1(config)# crypto isakmp key cisco address 203.1.1.2 #配置共享密钥
ASA1(config)# crypto map liyao10 ipsec-isakmp #配置 map 表
ASA1(config)#access-list 120 permit ip 192.168.1.0 255.255.255.128 192.168.3.0 255.255.255.128 #配置 crypto ACL
ASA1(config)# crypto map liyao10 match address 120
ASA1(config)# crypto map liyao 10 set peer 203.1.1.2
ASA1(config)# crypto map liyao10 set transform-set abc # Crypto map 的具体配置,匹配 ACL 中的地址,设置对等体
地址,设置传输集
ASA1(config)# crypto map liyao interface outside #将 crypto map 应用到 outside 接口上
ASA1(config)# crypto isakmp enable outside #启动 IKE 的协商
R1(config)#inter e0/1
R1(config-if)#ip add 192.168.2.2 255.255.255.0
R1(config-if)#no shut
R1(config-if)#inter e0/0
R1(config-if)#ip add 202.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#ip route 0.0.0.0 0.0.0.0 202.1.1.2
R1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1 # 配置到达 1 网段的路由
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 10 permit 192.168.2.0 0.0.0.255 #创建标准的 ACL 运行 1.0 和 2.0 网段
R1(config)#ip nat inside source list 10 interface Ethernet0/0 overload #配置 NAT ,是 1.0 和 2.0 网段可以基于路由
e0/0 接口做 NAT转换
R1(config)#inter e0/1
R1(config-if)#ip nat inside
R1(config-if)#inter e0/0
R1(config-if)#ip nat outside
R1(config)#ip nat inside source static udp 192.168.2.1 500 interface Ethernet0/0 500
R1(config)# ip nat inside source static udp 192.168.2.1 4500 interface Ethernet0/0 4500
# 配置静态的端口映射,做 NAT 穿越
R2(config)#inter e0/0
R2(config-if)#ip add 202.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#inter e0/1
R2(config-if)#ip add 203.1.1.1 255.255.255.0
R2(config-if)#no shut
ASA2(config)# inter e1
ASA2(config-if)# ip add 203.1.1.2 255.255.255.0000
ASA2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA2(config-if)# no shut
ASA2(config-if)# inter e0
ASA2(config-if)# ip add 192.168.3.1 255.255.255.0
ASA2(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA2(config-if)# no shut
ASA2(config-if)# route outside 0.0.0.0 0.0.0.0 203.1.1.1[#配置 ASA2 上的默认路由
ASA2(config)# access-list 10 permit ip any any
ASA2(config)# access-group 10 in interface outside # 建立 ACL, 保证 ASA 的正常通信
SA1(config)# crypto isakmp policy 10 #建立 IKE 的策略
SA1(config)# crypto ipsec transform-set abc esp-md5-hmac esp-aes #建立交换数据连接的传输集
ASA1(config)# crypto isakmp key cisco address 202.1.1.1 #配置共享密钥
ASA1(config)# crypto map liyao10 ipsec-isakmp #配置 map 表
ASA2(config)#access-list 120 permit ip 192.168.3.0 255.255.255.128 192.168.1.0 255.255.255.128 #配置 cryto ACL
ASA1(config)# crypto map liyao10 match address 120
ASA1(config)# crypto map liyao 10 set peer 203.1.1.2
ASA1(config)# crypto map liyao10 set transform-set abc # Crypto map 的具体配置,匹配 ACL 中的地址,设置对等体
地址,设置传输集
ASA1(config)# crypto map liyao interface outside #将 crypto map 应用到 outside 接口上
ASA1(config)# crypto isakmp enable outside #启动 IKE 的协商
验证结果:
C:\Documents and Settings\Administrator>ping 192.168.3.10
Pinging 192.168.3.10 with 32 bytes of data:
Reply from 192.168.3.10: bytes=32 time=1012ms TTL=64
Reply from 192.168.3.10: bytes=32 time=1258ms TTL=64
Reply from 192.168.3.10: bytes=32 time=1100ms TTL=64
Reply from 192.168.3.10: bytes=32 time=1331ms TTL=64 # NAT 穿越成功,可以访问到分公司
C:\Documents and Settings\Administrator>ping 202.1.1.2
Pinging 202.1.1.2 with 32 bytes of data:
Reply from 202.1.1.2: bytes=32 time=890ms TTL=254
Reply from 202.1.1.2: bytes=32 time=699ms TTL=254
Reply from 202.1.1.2: bytes=32 time=854ms TTL=254
Reply from 202.1.1.2: bytes=32 time=634ms TTL=25 #NAT 配置成功,可成功访问到外网
总结问题及知识重点:
1. 配置 nat 的豁免
在 ipsec 和 nat 在同一台设备上实现时,由于数据发出之后,被 ASA 或者是 路由器做了 NAT 转换,到 VPN 的另一端的时候数据验证失败导致 VPN 不能正常访问,此时需要做 NAT 的豁免!NAT 豁免使用 扩展的ACL 匹配源和目标地址为 VPN 的地址则不做 NAT 转换,直接走 VPN 的通道!
2. NAT 穿越
当 IPsec 和 nat 不在同一台设备上的时候 ASA 和 路由直接使用私网地址,数据通过 ASA 进行 VPN 的连接的时候要通过对 ASA 的 500 和 4500 的端口做静态映射才可以是 ike 的协商正常进行!500 的端口是 PAT 设备的外网一侧发起的建立管理连接,4500 的端口是数据传输端口
初秋