博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!
本文章介绍三个部分内容:
①ipsec vpn故障排查
②如何在ASA防火墙上配置ipsec ×××
③防火墙与路由器配置ipsec ×××的区别
说明:在ASA防火墙配置ipsec ×××与路由器的差别不是很大,而且原理相同,就是个别命令不一样。
一、ipsec ×××故障排查
1、show crypto isakmp sa命令
通过这个命令可以了解管理连接所处的状态:
2、debug crypto isakmp命令
通过这个命令如果想更加详细的知道连接的整个过程:
该命令在实际工作中最常用于诊断和排查管理连接出现问题的命令。
①故障实例(一)
将路由器的加密算法有des改为3des,这时对等体阶段1的加密算法显然不匹配,通过debug crypto isamkp命令可以很清楚的看到这点。
说明:路由器依然会逐条对比传输集,之后发现encryption algorithm offered does not match policy!(加密算法不匹配),所以atts are not acceptable(策略不被接受)。然后路由器会与本地的默认策略进行对比,如果依然没有匹配策略,就会得出结论no iffers accepted(没有匹配策略),最后路由器回到NM_NO_STATE状态。
②故障实例(二)
路由器两端设置的预共享秘钥key不同,这时阶段1的传输集是匹配的,但后续的验证过程无法通过,这一点也可以通过debug crypto isakmp命令看到。
说明:第一部分说明匹配的传输集已经找到(atts are acceptable),开始后续的秘钥交换以及身份验证的过程,但第二部分中“IKE message from 10.0.0.1 failed its sanity check or is malformed”说明进行身份验证的信息没有通过完整性检测或缺失部分信息,即验证失败。最后路由器就会停在NM_KEY_EXCH状态,这点可以通过show crypto isakmp sa命令查看。
二、在cisci asa防火墙上配置实现ipsec vpn
1、实验拓扑
2、实验目标:
1)分支公司的开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。
2)分公司的其他客户端(dmz)可以访问Internet。
3、注意事项
1)asa防火墙网卡模块修改为pcnet,对防火墙右键---选择“配置”。
2)开启asa之后弹出的界面不要关闭
4、实验步骤
1)配置所有设备的ip地址和路由
配置R4:
配置R1:
配置ASA1:
配置R2:
配置ASA2:
配置R3:
2)配置ASA1防火墙×××
①配置NAT并启动nat-control
②配置NAT豁免(即带ACL的nat 0)
access-list nonat extended permit ip 192.168.1.0
255.255.255.0 172.16.10.0 255.255.255.0
(截图看不清楚的我又写了一遍)
说明:0代表该条目不用被NAT转换,亦称为“豁免”。这里需要反过来想问题,之前配置路由器的时候都是匹配ACL的享有NAT的服务,这里正好相反,匹配ACL的可以“豁免”NAT的服务。但有个问题需要注意,很多人会说NAT豁免根本没有意义,用ACL的deny就可以实现NAT豁免。
③建立ISAKMP策略:
④配置预共享密钥
⑤配置crypto ACL
access-list yfvpn extended permit ip 192.168.1.0
255.255.255.0 172.16.10.0255.255.255.0
(截图看不清楚的我又写了一遍)
⑥配置交换数据连接的传输集
⑦配置crypto map
⑧将crypto map应用到outside接口上使其生效。
3)配置ASA2的×××(配置过程和ASA一样,就是对等体的IP地址不一样,另外ASA2不用做NAT)
5、测试
1)在R1上pingR3,可以ping通(因为有vpn)
2)在R2上开启telnet(因为防火墙默认拒绝一切ping)
3)在R1上telnet R2,提示不能访问(说明R1不能访问internet)
4)在R4上telnet R2(可以访问,因为R1做了动态PAT或静态NAT)
实验完成说明:到此为止实现了,开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。
分公司的其他客户端可以访问Internet。
三、防火墙和路由器的区别
说明:防火墙由于自身IOS原因,在配置命令方面与路由器有一定区别,但并不非常明显。这里重点介绍两个方面:
1、默认配置的区别
在建立管理连接的过程中,cisco asa防火墙和路由器默认情况下使用的参数不同。
Cisco asa防火墙使用的参数如下:
在ASA上查看参数:
在路由器上使用show crypto isakmp policy:
防火墙不支持命令show crypto isakmp policy,要想查看管理连接的默认参数,需要在初始配置下启用ISAKMP策略,然后通过命令show run进程观察。与路由器相比,默认的加密变为3DES,默认的DH组使用2,默认的设备验证方法变为预共享密钥,而默认的HASH算法以及生存周期没有变化。
ASA防火墙采用了更为安全的默认设置,这是cisco公司设备技术个新的一种表现。需要注意的是,如果ipsec对等体双方是ASA防火墙和cisco路由器,那么使用默认的ISAKMP策略是无法建立连接的。
2、IKE协商默认是否开启
默认情况下,IKE协商在路由器是开启的,而在ASA防火墙是关闭的。因此,在ASA防火墙中必须使用命令crypto isakmp enable outside
开启IKE协商。
3、隧道组特性的引入
严格意义上说,这并不能算是防火墙和路由器的配置差异,而是防火墙6.x版本升级到7.0版本引入的新特性,它主要用于简化ipsec会话的配置和管理。而且路由器配置共享密钥key的命令(crypto isakmp key key-string addresspeer-address),ASA防火墙依然支持。
4、接口安全级别对于ipsec流量的影响。
防火墙存在一种限制,如果流量从一个接口进入,就不能从相同安全级别的端口流出。即流量不能在统一安全级别的端口之间传输,这主要是从安全方面考虑而设定的一种特性,但可能对ipsec流量造成一定的影响。
假如ASA防火墙处于网络的中心节点(如公司总部),为了实现对分公司网络流量的统一管理,要求分公司之间的访问流量必须通过总公司。这就会出现上述情况,造成分公司之间无法通信。这时就需要使用如下命令来实现。
上面命令最后两个参数的区别:
Intra-interface参数允许流量进入和离开同一个接口,多用于L2L会话中的中心设备;
inter-interface参数允许流量进入和离开具有相同安全级别的两个不同的接口,多用于远程访问×××会话中的Easy ×××网关。