보웬 디렉토리
A,의 IPSec 가상 개인 네트워크 문제 해결
둘째는, IPSec을 가상 개인 네트워크를 구현하는 방화벽이나 라우터 구성
III 요약
: IPSec을 가상 개인 네트워크 작동 원리 및 개념에 대해, 이전 블로그 게시물 작성 시스코 라우터의 IPSec 가상 사설망 원칙과 세부 구성을 가상 시스코 라우터를 구축하기 위해 회사 아래의 경우에 사용되는 게이트웨이의 앞에, 세부 사항에 블로그를 가지고 개인 네트워크는 오늘 ASA 방화벽에서 IPSec VPN을 구성하는 달성했다.
은 "가상 사설망"(당신이 무엇인지 알고, 첫 글자를 참조) 단어의 민감한 \ 감각은, 그래서 대신 블로그 게시물에서의 중국 이름 "가상 개인 네트워크"를 사용합니다.
A,의 IPSec 가상 개인 네트워크 문제 해결
뿐만 아니라 작업 매우 광범위한 응용 프로그램에서 IPSec을 가상 개인 네트워크는 IPsec 피어 가상 사설 네트워크 통신을 구축하는 방법을 마스터뿐만 아니라 몇 가지 문제 해결 능력을 가지고 있습니다.
1, "쇼 암호화 된 ISAKMP SA"命令
보웬 하이퍼 링크 위의 연결 관리는 (여기에서 소개에만 주 모드) 된 상태를 배울 "쇼 암호화 된 ISAKMP SA"명령에 의해, 언급했다.
MM_NO - 상태 : 초기 상태는 연결을 관리합니다, ISAKMP SA 설립이 상태에서 실패합니다.
MM_SA_SETUP : 피어 ISAKMP 정책 협상 사이는 국가에서 성공적이다.
MM_KEY_EXCH : 피어 DH 알고리즘은 성공적으로 장치 인증 아니,이 시간을 공유 키를 설정합니다.
MM_KEY_AUTH : 피어 장치가 성공적으로 검증, 그것은 상태를 QM_IDLE을 전환합니다.
- QM_IDLE : 관리 연결이 성공적으로 설정, 곧 전환이 개 데이터 연결 설정 과정을 단계적으로합니다.
2, "디버그 암호화 ISAKMP"命令
좀 더 구체적으로 전체 과정을 이해하려면, 당신은 가장 일반적으로 사용되는 명령은 연결 문제를 해결하는 진단 및 관리 작업 인 "디버그 암호화 ISAKMP"명령을 사용할 수 있습니다.
데스 암호화 알고리즘 라우터는 3DES, 분명히 일치하지 않는 동료 1 단계 암호화 알고리즘 사이의 시간을 변경, 당신은 명확하게 "디버그 암호화 ISAKMP"명령을 통해 볼 수 있습니다. 아래 그림과 같이 :
라우터는 여전히 "정책과 일치하지 않습니다 제공하는 암호화 algorthm!"(암호화 알고리즘이 일치하지 않음)을 발견 한 후, 하나의 정책 하나를 대조, 그래서 (정책이 허용되지 않습니다) "ATTS는 허용되지 않습니다." 라우터는 다음 정책이 여전히 경우가 있다고 결론 지을 것이다, 일치하지 로컬 기본 정책과 비교되지 않습니다 "어떤 이벤트가 허용되지!"(어떤 정책 일치), 마지막 라우터는 "MM_NO_STATE"상태로 돌아갑니다.
둘째, IPSec을 가상 개인 네트워크를 구현하는 방화벽이나 라우터를 구성
도 1을 참조하면, 네트워크 환경은 다음과 같다 :
2, 환경 분석 :
1), 네트워크 어드레스, 서브넷 어드레스 192.168.20.0/24 분기를 사용하여 기업 네트워크 내 192.168.10.0/24. 공용 인터넷 라우터 등의 ISP 라우터. R1 및 ASA-1 본사 및 지사 게이트웨이 서버, 그래서 공용 네트워크 라우터에 기본 경로가있을 것입니다해야합니다.
2) 그들은 또한, 가상 개인 네트워크를 구축하거나 일반적으로, 공사의 네트워크 및 지사에서 내부 네트워크 사이에 가상 개인 네트워크를 구축,하지만 당신이 무엇을 구성하지 않는 경우, 인터넷에 액세스하기 위해 네트워크에 영향을 미칠 것 인터넷에 액세스 할 수 있으므로이 문제가 해결되어야한다.
3. 다음과 같이 요구 사항은 다음과 같습니다
1, 192.168.20.0/24 네트워크 세그먼트 192.168.10.0/24 사무실 지사 가상 사설 네트워크를 통해 서로 통신 헤드와 ISP의 라우터 공용 네트워크에 액세스하지 않는 두 부분의 영향 (공용 네트워크 액세스 제어를 달성하는 데 필요한 PAT 포트에 의해 복잡한 기술 구현) ISP 라우터에 어떤 경로를 구성하지 않습니다.
4, 구성을 시작합니다
기본 네트워크 매개 변수를 구성합니다
1)ASA配置如下:
ASA(config)# int eth0/0 #进入接口
ASA(config-if)# nameif outside #接口配置为outside
ASA(config-if)# ip add 192.168.100.1 255.255.255.0 #接口配置IP地址
ASA(config-if)# no shu #启用接口
ASA(config-if)# exit
ASA(config)# int eth0/1 #进入接口
ASA(config-if)# nameif inside #接口配置为inside
ASA(config-if)# ip add 192.168.10.254 255.255.255.0 #接口配置IP地址
ASA(config-if)# no shu #启用接口
ASA(config-if)# exit
ASA(config)# route outside 0 0 192.168.100.254 #配置去往公网的IP地址
ASA(config)# access-list out_to_in permit ip any any #创建ACL允许所有流量通过outside接口进入inside
ASA(config)# access-group out_to_in in interface outside #ACL应用到outside接口
2)ISP配置如下:
ISP(config)#int f0/0 #(相关注释请参考上面)
ISP(config-if)#ip add 192.168.100.254 255.255.255.0
ISP(config-if)#no shu
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int f1/0
ISP(config-if)#ip add 192.168.200.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int loopback 0 #创建loop back 0接口(模拟Internet网)
ISP(config-if)#ip add 100.100.100.100 255.255.255.255 #配置IP地址
ISP(config-if)#no shutdown #启用接口
ISP(config-if)#exit
3)R1配置如下:
R1(config)#int f1/0
R1(config-if)#ip add 192.168.200.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.254 #配置去往公网的路由
4)PC1配置如下:
PC1(config)#no ip routing #关闭路由功能
PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.10.1 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.254 #配置网关
PC1(config)#exit
5)PC2配置如下:
PC2(config)#no ip routing
PC2(config)#int f0/0
PC2(config-if)#ip add 192.168.20.1 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.254
PC2(config)#exit구성의 IPSec 가상 사설망
R1은 다음과 같이 구성 :
R1(config)#crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高
R1(config-isakmp)#encryption aes #配置加密算法
R1(config-isakmp)#hash sha #hash命令指定验证过程中采用的散列算法
R1(config-isakmp)#authentication pre-share #配置共享密钥的方式为“预先共享密钥”
R1(config-isakmp)#lifetime 86400 #配置保持时间,默认保持时间为24小时
R1(config-isakmp)#group 2 #配置加密共享密钥方式使用dh算法
R1(config-isakmp)#exit
R1(config)# access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255#创建ACL抓取需要走虚拟专用网的流量
R1(config)#crypto ipsec transform-set sh-set esp-aes esp-sha-hmac #配置传输集指定加密和验证算法
R1(cfg-crypto-trans)#exit
R1(config)#crypto isakmp key 0 pwd@123 address 192.168.100.1 #创建共享密钥和对等体IP地址建立IPSec 虚拟专用网连接
R1(config)#crypto map sh-虚拟专用网简写 1 ipsec-isakmp #创建crypto map调用,名字为bj-虚拟专用网简写
R1(config-crypto-map)#match address 100 #调用ACL抓取本地走虚拟专用网的流量
R1(config-crypto-map)#set peer 192.168.100.1 #调用对等体的IP地址
R1(config-crypto-map)#set transform-set sh-set #调用本地创建的传输集
R1(config-crypto-map)#exit
R1(config)#interface fastEthernet 1/0 #进入到外网接口,也就是0/0接口
R1(config-if)#crypto map sh-虚拟专用网简写 #应用创建的map다음과 같이 ASA 방화벽 구성은 다음과 같습니다
ASA(config)# crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高
ASA(config-isakmp-policy)# encryption aes #配置加密算法
ASA(config-isakmp-policy)# hash sha #hash命令指定验证过程中采用的散列算法
ASA(config-isakmp-policy)# authentication pre-share #配置共享密钥的方式为“预先共享密钥”
ASA(config-isakmp-policy)# lifetime 86400 #配置保持时间,默认保持时间为24小时
ASA(config-isakmp-policy)# group 2 #配置加密共享密钥方式使用dh算法
ASA(config-isakmp-policy)# exit
ASA(config)# access-list 100 permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 #创建ACL抓取需要走虚拟专用网的流量 (防火墙掩码是正掩码,路由器是反掩码)
ASA(config)# crypto ipsec transform-set bj-set esp-aes esp-sha-hmac #配置传输集指定加密和验证算法
ASA(config)# crypto isakmp key pwd@123 address 192.168.200.1 #创建共享密钥和对等体IP地址建立IPSec 虚拟专用网连接
ASA(config)# crypto map bj-虚拟专用网简写 1 match address 100 #调用ACL识别要走虚拟专用网的流量
ASA(config)# crypto map bj-虚拟专用网简写 1 set peer 192.168.200.1 #调用对等体IP地址
ASA(config)# crypto map bj-虚拟专用网简写 1 set transform-set bj-set #调用本地创建的传输集
ASA(config)# crypto isakmp enable outside #开启IKE协商
ASA(config)# crypto map bj-虚拟专用网简写 interface outside #应用crypto map到外网接口5. IPSec을 가상 개인 네트워크 확인
보기 IPSec을 가상 개인 네트워크 관리 연결이 설정되어
IPSec을 가상 개인 네트워크도 구성, PC1을 완료하고 PC2 클라이언트는 이제 서로 통신 할 수 있으며,이 개 NAT 구성합니다 (ISP 라우터에 즉 루프 back0 인터페이스) 인터넷 네트워크에 액세스 할 수있는 PC를 구현하기 시작했다.
6 클라이언트를 달성하기 위해 NAT 구성은 인터넷 네트워크에 액세스 할 수
현재이 PC 기계는 다시 0 인터페이스를 ISP 라우터 루프를 ping하지 않습니다. 도는 다음과 같습니다 :
다음과 같이 ASA 방화벽 구성은 다음과 같습니다
ASA(config)# nat (inside) 1 192.168.10.0 255.255.255.0 #将内部网段转换为外部接口地址
ASA(config)# global (outside) 1 interface
ASA(config)# fixup protocol icmp #开启icmp协议,防火墙默认是关闭的
ASA(config)# nat-control #开启nat控制
ASA(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 #创建ACL抓取流量
ASA(config)# nat (inside) 0 access-list nonat R1은 다음과 같이 구성 :
R1(config)#access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 #创建ACL抓取拒绝虚拟专用网的流量
R1(config)#access-list 110 permit ip any any #允许所有流量
R1(config)#ip nat inside source list 110 int f1/0 overload #采用端口复用的PAT方式,解决内网访问互联网的问题
R1(config)#int f1/0 #进入接口
R1(config-if)#ip nat outside #启用nat功能,接口为outside
R1(config-if)#int f0/0 #进入接口
R1(config-if)#ip nat inside #启用nat功能,接口为inside
R1(config-if)#exit실험은 지금까지 모두가 PCC1 및 PC2는 가상 사설 네트워크 세그먼트를 통해 통신에 영향을주지 않습니다, 인터넷에 액세스 할 수있는 네트워크의 요구를 모두 충족 할 수 있었다.
도 7에서, NAT 구성 검증
지도를 볼 수있는, 모두 PC2 네트워크에 인터넷 네트워크, PC1에 액세스 할 수 있으며 가상 개인 네트워크를 통해 통신 할 수 있습니다.
셋째, 요약
1, 데이터 연결을 설정하는 과정에서, ASA는 ESP는 따라서 라우터를 종료하는 것입니다 지원 방화벽, 당신은 성공적으로 데이터 연결을 설정할 수 있습니다 데이터 유효성 검사, 라우터 및 ASA의 ESP 프로토콜을 사용합니다.
2, 라우터 IKE 협상은 기본적으로 설정되어 있지만, ASA 모드가 해제되어, 당신은 명령을 열고 "암호화 ISAKMP 외부 사용"을 사용해야합니다.
3, 쇼 암호화 ISAKMP 정책 명령을 지원하지 않습니다 방화벽, 당신은 쇼를보고 실행할 수 있습니다.
4, ASA 기본 릴리스 모든 가상 개인 네트워크 트래픽, 트래픽이 항상 있기 때문에 가상 개인 네트워크 보안, 그래서 녹색 빛의 ASA.
--------이 문서의 끝 지금까지 읽어 주셔서 감사합니다 --------