一、实验拓扑:
二、实验要求:
三、命令部署:
一、接口地址、路由等基本部署:
1、基本配置接口地址、环回口测试地址:
R1(config)#int lo0 //创建环回口
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#int f0/0 //配置接口IP地址
R1(config-if)#no shutdown
R1(config-if)#ip add 172.16.1.1 255.255.255.0
ASA(config)# int g0
ASA(config-if)# no shutdown
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip add 172.16.1.10 255.255.255.0
ASA(config)# int g1
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip add 202.100.1.10 255.255.255.0
R2(config)#int f0/0 //配置接口IP地址
R2(config-if)#no shutdown
R2(config-if)#ip add 202.100.1.2 255.255.255.0
R2(config)#int f1/0 //配置接口IP地址
R2(config-if)#no shutdown
R2(config-if)#ip add 202.100.2.2 255.255.255.0
R3(config)#int f0/0 //配置接口IP地址
R3(config-if)#no shutdown
R3(config-if)#ip add 202.100.2.3 255.255.255.0
R3(config)#int lo0 //创建环回口
R3(config-if)#ip add 3.3.3.3 255.255.255.0
2、Site2(R3)配置一条默认路由,下一跳指向Internet(R2);
Inside Network(R1) 配置一条默认路由,下一跳指向Site1(ASA)
R3(config)#ip route 0.0.0.0 0.0.0.0 202.100.2.2 //默认路由,下一跳为R2连接接口地址
主要解决去往Site1的内网口,以及去往对端通信点的路由,可以配置为静态路由,但一定要确保有去往对端通信点的路由
R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.10 //默认路由,下一跳为ASA连接接口地址
主要解决Inside Network去往Site1外网口,以及去往对端通信点的路由
3、Site1(ASA)配置默认路由,下一跳指向Internet(R2),同时要解决去住内部1.1.1.1的路由
ASA(config)# route outside 0 0 202.100.1.2 //解决去往Intenet3.3.3.3的路由
ASA(config)# route inside 0 0 172.16.1.1 tunneled //解决去往内部1.1.1.1的路由。该路由仅限于×××隧道进入的流量使用(ASA的地址为202.100.1.10),也就说这条路由仅仅为×××流量服务的,如果不是×××,它是不会服务的
测试:
ASA1(config)# ping 1.1.1.1 //查看ASA和1.1.1.1是否可通,实际不通,这条路由只有在×××的时候才能用,所以肯定是不通的
ASA(config)#ping 202.100.2.3 //查看ASA和R3的202.100.2.3是否可通
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.2.3, timeout is 2 seconds: ?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 20/22/30 ms
二、重点命令部署:
1、R3配置×××:
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
查看:仅仅配置上边的也可以。
我们只是输入了预共享秘钥,其它都是系统默认配置好的
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 86400
R3(config)#crypto isakmp key 0 cisco address 202.100.1.10//既然是预共享秘钥,我们要写个key
感兴趣流:
R3(config)#ip access-list extended aa //命名方式的ACL
R3(config-ext-nacl)#permit ip host 3.3.3.3 host 1.1.1.1
配置转换集:
R3(config)#crypto ipsec transform-set cisco esp-aes esp-md5-hmac //转换集就是实际流量的加密方式
//默认就是tunnel模式,可以不用敲的
配置Map:
R3(config)#crypto map cisco 10 ipsec-isakmp
R3(config-crypto-map)#set peer 202.100.1.10
R3(config-crypto-map)#set transform-set cisco //加密方式就是转换集里的加密方式
R3(config-crypto-map)#match address aa //匹配名字为aa的流量
R3(config-crypto-map)#set pfs group1 //设置向前保护
接口下调用:
R3(config)#int f0/0
R3(config-if)#crypto map cisco
查看配置:
2、ASA配置:
配置第一阶段IKE、SA:
ASA1(config)# crypto ikev1 enable outside //激活相关接口的IKEV1功能,默认被关闭,需手动开启
ASA1(config)# crypto ikev1 policy 10 //配置policy,路由器用isakmp
ASA1(config-ikev1-policy)# authentication pre-share
ASA1(config-ikev1-policy)# encryption 3des
ASA1(config-ikev1-policy)# hash md5
ASA1(config-ikev1-policy)# group 5
ASA1(config-ikev1-policy)# lifetime 86400
对比:ASA如果只配置预共享模式,查看默认配置和路由器不一样,比路由器默认配置安全性更高一点
路由器是这么做的:crypto isakmp key 0 cisco address 202.100.1.10//key是用来做预共享秘钥,做简单验证
ASA1(config)# tunnel-group 202.100.2.3 type ipsec-l2l //使用L2L模式,202.100.2.3是一个名字,而且需要注意这个名字必须是对端的IP地址
ASA1(config)# tunnel-group 202.100.2.3 ipsec-attributes //在属性里面定义Key
ASA1(config-tunnel-ipsec)# ikev1 pre-shared-key cisco
配置转换集
ASA1(config)# crypto ipsec ikev1 transform-set cisco esp-aes esp-md5-hmac //路由器没有ikev1,实际流量的加密方式,默认也是隧道模式,不需要管
配置感兴趣流
ASA1(config)# access-list bb extended permit ip host 1.1.1.1 host 3.3.3.3
定义MAP
ASA1(config)# crypto map mingzi 10 match address bb //路由器配一个map然后重复调用,ASA全部都是单独命令
ASA1(config)# crypto map mingzi 10 set peer 202.100.2.3
ASA1(config)# crypto map mingzi 10 set ikev1 transform-set cisco
ASA1(config)# crypto map mingzi 10 set pfs group1
调用MAP到相应接口
ASA1(config)# crypto map mingzi interface outside //直接在全局配置模式调用就可以
查看验证配置:
ASA1(config)# show run crypto
ASA1(config)# show run tunnel-group
tunnel-group 202.100.2.3 type ipsec-l2l
tunnel-group 202.100.2.3 ipsec-attributes
ikev1 pre-shared-key *****
ASA中放行ICMP流量:(注意点,这个不需要)
ASA1(config)# access-list bb extended permit icmp any any
ASA1(config)# access-group bb in interface outside
测试:
1、ASA未放行ICMP流量:R3带源是Ping不通R1的环回口的:
R3#ping 1.1.1.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3 .....
Success rate is 0 percent (0/5)
2、ASA放行ICMP流量后:
R3#ping 1.1.1.1 source loopback 0
R3#show crypto engine connections active //查看加密、解密流量个数
注意:有时候ASA中会出现策略消失的情况,这时候重启ASA就好了。
3、测试R3的Telnet流量能否通过:
R1(config)#line vty 0 4
R1(config-line)#password aa
R1(config-line)#login
R3#ping 1.1.1.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/38/44 ms
R3#telnet 1.1.1.1 /source-interface loopback 0
Trying 1.1.1.1 ... Open
User Access Verification
Password:
R1>