가상 개인 네트워크 를 통해 가상 개인 네트워크 이론 및 구성 IPSec은 가상 사설망을 이해
2.IPsec 가상 개인 네트워크 문제 해결
연결 상태 관리를 이해할 수있다 (쇼 암호화 ISAKMP)되는에
(디버그 암호화 ISAKMP)이 명령은 실제 작업에 의한 명령이 가장 일반적으로 연결 관리의 문제를 진단하고 해결하는 데 사용된다
방화벽과 라우터 사이의 차이 3
-
기본 IKE 협상이 켜져
기본적으로 라우터에서 IKE 협상이 켜져와 ASA는 방화벽 해제 -
터널 그룹 기능 도입
- IPSec 트래픽에 미치는 영향에 대한 인터페이스 안전 수준
ASA(config)#same-security-traffic permit intra-interface
내부 인터페이스 파라미터는 트래픽을 입력 할 수 있도록 떠날는 센터 장치 더 L2L 세션 동일한 인터페이스이다
4. 구성의 예를 들면 다음과 같이
요구 사항 : 전체 네트워크가 연동하고, PC가 인터넷에 액세스 (R1)
사실 사진은 단순화 :
(1)의 IP 어드레스 구성
R2, R3, R4, 및 ASA-1, ASA-2, ASA-3 (기본 걸릴 할당 IP에 RL을 )
R2 같이
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
다른 두 라우터는 위의 작업을 수행
방화벽 구성 ASA-1 :
ciscoasa(config)# int e0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config)# route outside 0 0 201.0.0.2 //默认路由
이와 같은 다른 두 개의 방화벽 구성, 다른 IP 주소가 불일치하지 않도록 조심
(2) 구성 ASA1 (lan1_lan2)
구성 관리 연결
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 1
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# encryption aes
ciscoasa(config-isakmp-policy)# hash md5
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# lifetime 10000
设置共享密钥:
ciscoasa(config-isakmp-policy)# crypto isakmp key 2008.cn address 202.0.0.1
또한있을 수 있습니다
다른 방법을 사용하여
tunnel-group 202.0.0.1 type ipsec-l2l
tunnel-group 202.0.0.1 ipsec-attributes
pre-shared-key 2008.cn
구성 데이터 연결
ciscoasa(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ciscoasa(config)# crypto map test-map 1 match address lan1_lan2
ciscoasa(config)# crypto map test-map 1 set peer 202.0.0.1 //对端的IP
ciscoasa(config)# crypto map test-map 1 set transform-set test-set
ciscoasa(config)# crypto map test-map interface outside //应用到外接口上
다음과 같이 ASA-2 구성은 다음과 같습니다
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 1
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# encryption aes
ciscoasa(config-isakmp-policy)# hash md5
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# lifetime 10000
ciscoasa(config-isakmp-policy)# crypto isakmp key 2008.cn address 201.0.0.1
구성 데이터 연결
ciscoasa(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ciscoasa(config)# crypto map test-map 1 match address lan2_lan1
ciscoasa(config)# crypto map test-map 1 set peer 201.0.0.1
ciscoasa(config)# crypto map test-map 1 set transform-set test-set
ciscoasa(config)# crypto map test-map interface outside //应用到外接口
그런 다음 LAN1 LAN2이와 통신 할 수 있습니다
R2#ping 192.168.2.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.10, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 72/156/296 ms
LAN1 교환은 LAN3 시작
ASA-1은 다음과 같이 구성 :( 약간 변형 가능)
ciscoasa(config)# tunnel-group 203.0.0.1 type ipsec-l2l
ciscoasa(config)# tunnel-group 203.0.0.1 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key 2008.cn
구성 ACL
ciscoasa(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ciscoasa(config)# crypto map test-map 2 match address lan1_lan3
ciscoasa(config)# crypto map test-map 2 set peer 203.0.0.1
ciscoasa(config)# crypto map test-map 2 set transform-set test-set
다음 ASA-3으로 구성된다 :
ciscoasa(config)#crypto isakmp enable outside //开启IKE协商功能
ciscoasa(config)# crypto isakmp policy 1
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# encryption aes
ciscoasa(config-isakmp-policy)# hash md5
ciscoasa(config-isakmp-policy)# lifetime 10000
ciscoasa(config-isakmp-policy)# crypto isakmp key 2008.cn address 203.0.0.2
ciscoasa(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ciscoasa(config)# crypto map test-map 1 match address lan3_lan1
ciscoasa(config)# crypto map test-map 1 set peer 201.0.0.1
ciscoasa(config)# crypto map test-map 1 set transform-set test-set
ciscoasa(config)# crypto map test-mao interface outside
앞으로 중간 LAN1을 통해 가상 개인 네트워크 통신을 lan2_lan3 달성
추가 구성을 ASA1의 필요성 :
ciscoasa(config)# same-security-traffic permit intra-interface //允许流量进入和离开同一个接口
iscoasa(config)#access-list lan1_lan2 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0
iscoasa(config)#access-list lan1_lan3 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA2 구성에서 :
추가 ACL
ciscoasa(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA3 구성에 :
ACL 추가
ciscoasa(config)#access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0
다른 네트워크 회사들이 인터넷에 액세스 할 수 있도록해야하는 경우, PAT 면제 가상 개인 네트워크 흐름, NAT 제어를 ASA에 일을해야하고, 가능
사용 가능
nat-control
ciscoasa(config)#nat (inside) 1 0 0
ciscoasa(config)#global (outside) 1 interface
ciscoasa(config)#access-list asd permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ciscoasa(config)#access-list asd permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ciscoasa(config)#nat (inside) 0 access-list asd
ASA2 구성에 :
ciscoasa(config)#nat (inside) 1 0 0
ciscoasa(config)#global (outside) 1 interface
ciscoasa(config)#nat (inside) 0 access-list lan2_lan1
ASA3 구성에 :
ciscoasa(config)#nat (inside) 1 0 0
ciscoasa(config)#global (outside) 1 interface
ciscoasa(config)#nat (inside) 0 access-list lan3_lan1
연동 전체 네트워크