思科VPN实验室系列:

思科公司 虚拟专用网 LAB 1:路由器之间的简单Easy 虚拟专用网示例以及与DMVPN的比较
思科公司 虚拟专用网 LAB 2:两个ASA 8.4.2之间的IPSec 虚拟专用网示例
思科公司 虚拟专用网 LAB 3:ASA 8.4.2,IOS路由器和EZVPN客户端软件之间的EZ 虚拟专用网

 IPsec协议套件中使用的协议和标准:

– ESP(封装安全有效载荷)
– AH(身份验证标头)
– IKE(Internet密钥交换)– IKE阶段1用于保护管理通道和设置vpn通道
–加密算法(DES,3DES,AES)
– DH(Diffie-Hellman组)
–哈希算法(MD5,SH1)
– SA(安全协会)

– IPSEC -IPSEC或(IKE阶段2)用于保护要保护的真实数据。

 

拓扑结构

 

配置:

1. 作为一个842-1

asa842-1(配置)#  sh run
:已保存
:
作为一个版本8.4(2)
!
主机名asa842-1
启用密码8Ry2YjIyt7RRXU24加密
passwd 2KFQnbNId​​I.2KYOU加密
名字
!
接口GigabitEthernet0
 description WAN
 nameif WAN
 security-level 0
 IP地址1.1.1.1 255.255.255.0
!
接口GigabitEthernet1
 description LAN
 nameif LAN
 security-level 100
 IP地址11.11.11.11 255.255.255.0
!
接口GigabitEthernet2
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp模式被动

!!!创建访问控制列表以告知 作为一个 什么是“有趣的流量”,即需要加密的流量。
!!!!!!! 类似于“ nat(内部,外部)源静态站点A-SN站点ASN目的地静态站点B-SN站点B-SN”
访问列表102扩展许可ip主机11.11.11.12主机22.22.22.23日志
传呼机线24
记录启用
记录缓冲调试
mtu WAN 1500
mtu LAN 1500
icmp无法到达速率限制1突发大小1
没有启用asdm历史记录
arp超时14400
路由WAN 0.0.0.0 0.0.0.0 1.1.1.2 1
超时xlate 3:00:00
超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02
超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
超时tcp-proxy-reassembly 0:01:00
超时浮动conn 0:00:00
动态访问策略记录DfltAccessPolicy
用户身份默认域LOCAL
没有snmp服务器位置
没有snmp服务器联系
snmp-server enable陷阱snmp身份验证linkup linkdown coldstart warmstart

!!! IKE阶段2 IPSEC转换集
加密ipsec ikev1转换集myset1 esp-des esp-sha-hmac 

!!!创建一个“ Cryptomap”来处理VPN隧道的“第2阶段”,该阶段还将使用3DES和SHA PFS.
加密映射outside_map 1匹配地址102
加密映射outside_map 1 set pfs
加密映射outside_map 1设置对等体1.1.1.2 1.1.1.1
加密映射outside_map 1设置ikev1转换集myset1

!!!将该Cryptomap应用于外部接口。
加密映射outside_map接口WAN

!!!在WAN接口上启用IKEv1
加密ikev1启用WAN

!!!创建一个策略,该策略将设置如何建立VPN隧道的“阶段1”
加密IKEv1策略1
 验证预共享
 encryption aes-256
 hash sha
 group 2
 lifetime 86400

telnet超时5
ssh超时5
控制台超时0
威胁检测基本威胁
威胁检测统计信息访问列表
没有威胁检测统计信息tcp-intercept

!!!创建一个“隧道组”以告知防火墙其站点到站点VPN隧道“ l2l”,并创建一个共享密钥,该秘密将需要在站点的另一端输入到站点VPN隧道。隧道组名称必须是对等网关的IP地址。
隧道组1.1.1.2类型ipsec-l2l
隧道组1.1.1.2 ipsec属性
 ikev1预共享密钥****
*
!
!
提示主机名上下文
没有匿名的回电报告
回电
 profile 思科公司TAC-1
  no active
  destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
 目的地地址电子邮件 [电子邮件 protected]
 目的地运输方法http
 订阅警报组诊断
 订阅警报组环境
 每月定期订阅警报组库存
 每月定期订阅警报组配置
 每日定期订阅警报组遥测
crashinfo保存禁用
加密校验和:4d98c8c61ec98419f0152f3c7193373d
: 结束

2. 作为一个842-2

asa842-2(config)#sh运行
:已保存
:
作为一个版本8.4(2)
!
主机名asa842-2
启用密码8Ry2YjIyt7RRXU24加密
passwd 2KFQnbNId​​I.2KYOU加密
名字
!
接口GigabitEthernet0
 description WAN
 nameif WAN
 security-level 0
 IP地址1.1.1.2 255.255.255.0
!
接口GigabitEthernet1
 description LAN
 nameif LAN
 security-level 100
 IP地址22.22.22.22 255.255.255.0
!
接口GigabitEthernet2
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
接口GigabitEthernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp模式被动
访问列表102扩展许可ip主机22.22.22.23主机11.11.11.12
传呼机线24
mtu WAN 1500 
mtu LAN 1500
icmp无法到达速率限制1突发大小1
没有启用asdm历史记录
arp超时14400
路由WAN 0.0.0.0 0.0.0.0 1.1.1.1 1
超时xlate 3:00:00
超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02
超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
超时tcp-proxy-reassembly 0:01:00
超时浮动conn 0:00:00
动态访问策略记录DfltAccessPolicy
用户身份默认域LOCAL
没有snmp服务器位置
没有snmp服务器联系
snmp-server enable陷阱snmp身份验证linkup linkdown coldstart warmstart
加密ipsec ikev1转换集myset1 esp-des esp-sha-hmac
加密映射outside_map 1匹配地址102
加密映射outside_map 1 set pfs
加密映射outside_map 1设置对等体1.1.1.1
加密映射outside_map 1设置ikev1转换集myset1
加密映射outside_map接口WAN
加密ikev1启用WAN
加密IKEv1策略1
 验证预共享
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
telnet超时5
ssh超时5
控制台超时0
威胁检测基本威胁
威胁检测统计信息访问列表
没有威胁检测统计信息tcp-intercept
隧道组1.1.1.1类型ipsec-l2l
隧道组1.1.1.1 ipsec属性
 ikev1预共享密钥*****
!
!
提示主机名上下文
没有匿名的回电报告
回电
 profile 思科公司TAC-1
  no active
  destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
 目的地地址电子邮件 [电子邮件 protected]
 目的地运输方法http
 订阅警报组诊断
 订阅警报组环境
 每月定期订阅警报组库存
 每月定期订阅警报组配置
 每日定期订阅警报组遥测
crashinfo保存禁用
加密校验和:688f0053e33cccccd01e3cacdf9c0fff
: 结束

3.记录和验证

asa842-1(配置)# 显示crypt ipsec sa
接口:广域网
   加密地图标记:outside_map,序列号:1,本地地址:1.1.1.1

     访问列表102扩展许可ip主机11.11.11.12主机22.22.22.23日志
     本地标识(addr / mask / prot / port):(11.11.11.12/255.255.255.255/0/0)
     远程标识(addr / mask / prot / port):(22.22.22.23/255.255.255.255/0/0)
     current_peer:1.1.1.2

     #pkts封装:1,#pkts加密:1,#pkts摘要:1
     #pkts上限:1,#pkts解密:1,#pkts验证:1
     #pkts压缩:0,#pkts解压缩:0
     #pkts未压缩:1,#pkts comp失败:0,#pkts decomp失败:0
     #pre-frag成功:0,#pre-frag失败:0,#fragments创建:0
     #PMTU已发送:0,#PMTU rcvd:0,#需要重新包装的解封装后的代码:0
     #发送错误:0,#接收错误:0

     本地加密端点:1.1.1.1/0,远程加密端点:1.1.1.2/0
     路径mtu 1500,ipsec开销58,介质mtu 1500
     当前出站spi:373F0E5C
     当前入站spi:9F4A47B4

    inbound esp sas:
     spi:0x9F4A47B4(2672445364)
        转换:esp-des esp-sha-hmac不压缩
        使用设置= {L2L,隧道,PFS组2,}
        插槽:0,conn_id:8192,加密映射:outside_map
        定时:剩余密钥生存期(kB / sec):(3914999/28791)
         IV size: 8 bytes
        重放检测支持:是
         Anti replay bitmap:
         0x00000000 0x00000003
    outbound esp sas:
     spi:0x373F0E5C(926879324)
        转换:esp-des esp-sha-hmac不压缩
        使用设置= {L2L,隧道,PFS组2,}
        插槽:0,conn_id:8192,加密映射:outside_map
        定时:剩余密钥生存期(kB / sec):(3914999/28791)
         IV size: 8 bytes
        重放检测支持:是
         Anti replay bitmap:
         0x00000000 0x00000001

asa842-1(配置)# sh日志
Syslog日志记录:已启用
    Facility: 20
   时间戳记录:已禁用
   备用日志记录:已禁用
   调试跟踪日志记录:已禁用
   控制台日志记录:已禁用
   监视日志记录:已禁用
   缓冲区记录:级别调试,记录了639条消息
   陷阱记录:已禁用
   允许主机记录日志:已禁用
   历史记录:已禁用
    Device ID: disabled
   邮件记录:已禁用
   ASDM日志记录:已禁用
 1.1.1.2,IP = 1.1.1.2,构建pfs ke有效负载
%ASA-7-715001:组= 1.1.1.2,IP = 1.1.1.2,构建代理ID
%ASA-7-713906:组= 1.1.1.2,IP = 1.1.1.2,正在传输代理ID:
  Local host:  11.11.11.12  Protocol 0  Port 0
 远程主机:22.22.22.23  Protocol 0  Port 0
%ASA-7-714007:组= 1.1.1.2,IP = 1.1.1.2,IKE发起方发送初始联系
%ASA-7-715046:组= 1.1.1.2,IP = 1.1.1.2,构造了qm哈希有效负载
%ASA-7-714004:组= 1.1.1.2,IP = 1.1.1.2,IKE发起方发送第一个QM密钥:消息ID = 7dde16b5
%ASA-7-713236:IP = 1.1.1.2,带有有效负载的IKE_DECODE SENDING消息(msgid = 7dde16b5):HDR + HASH(8)+ SA(1)+ NONCE(10)+ KE(4)+ ID(5) + ID(5)+ NOTIFY(11)+ NONE(0)总长度:324
%ASA-7-713236:IP = 1.1.1.2,已收到IKE_DECODE消息(msgid = 7dde16b5),带有有效负载:HDR + HASH(8)+ SA(1)+ NONCE(10)+ KE(4)+ ID(5) + ID(5)+ NONE(0)总长度:296
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理哈希有效载荷
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理SA有效负载
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理随机数有效负载
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理ke有效负载
%ASA-7-713906:组= 1.1.1.2,IP = 1.1.1.2,在阶段2中为PFS处理ISA_KE
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理ID有效负载
%ASA-7-714011:组= 1.1.1.2,IP = 1.1.1.2,收到ID_IPV4_ADDR ID
11.11.11.12
%ASA-7-715047:组= 1.1.1.2,IP = 1.1.1.2,正在处理ID有效负载
%ASA-7-714011:组= 1.1.1.2,IP = 1.1.1.2,收到ID_IPV4_ADDR ID
22.22.22.23
%ASA-7-713906:组= 1.1.1.2,IP = 1.1.1.2,正在加载所有IPSEC SA
%ASA-7-715001:组= 1.1.1.2,IP = 1.1.1.2,正在生成快速模式密钥!
%ASA-7-715001:组= 1.1.1.2,IP = 1.1.1.2,正在生成快速模式密钥!
%ASA-5-713049:组= 1.1.1.2,IP = 1.1.1.2,LAN到LAN组(1.1.1.2)的安全协商完成 启动器,入站SPI = 0x9f4a47b4,出站SPI = 0x373f0e5c
%ASA-7-713906:组= 1.1.1.2,IP = 1.1.1.2,奥克利构建最终快速模式
%ASA-7-714006:组= 1.1.1.2,IP = 1.1.1.2,IKE发起方发送第三个QM密钥:消息ID = 7dde16b5
%ASA-7-713236:IP = 1.1.1.2,带有有效负载的IKE_DECODE SENDING消息(msgid = 7dde16b5):HDR + HASH(8)+ NONE(0)总长度:76
%ASA-6-602303:IPSEC:已创建1.1.1.1和1.1.1.2(用户= 1.1.1.2)之间的出站LAN到LAN SA(SPI = 0x373F0E5C)。
%ASA-7-715007:组= 1.1.1.2,IP = 1.1.1.2,IKE为SA获得了KEY_ADD消息:SPI = 0x373f0e5c
%ASA-7-746012:用户身份:添加IP用户映射1.1.1.2 – LOCAL1.1.1.2成功– 虚拟专用网用户
%ASA-7-746012:用户身份:添加IP用户映射22.22.22.23 – LOCAL1.1.1.2成功– 虚拟专用网用户
%ASA-6-602303:IPSEC:已创建1.1.1.1和1.1.1.2(用户= 1.1.1.2)之间的入站LAN到LAN SA(SPI = 0x9F4A47B4)。
%ASA-7-715077:组= 1.1.1.2,IP = 1.1.1.2,投手:收到KEY_UPDATE,spi 0x9f4a47b4
%ASA-7-715080:组= 1.1.1.2,IP = 1.1.1.2,启动P2更新密钥计时器:24480秒。
%ASA-5-713120:组= 1.1.1.2,IP = 1.1.1.2,已完成阶段2(msgid = 7dde16b5)
%ASA-5-752016: IKEv1成功建立了隧道。 地图标记= outside_map。映射序列号= 1。
%ASA-7-752002:“隧道管理器”已删除条目。 地图标记= outside_map。 映射序列号= 1。
%ASA-7-609001:内置的本地主机LAN:11.11.11.12
%ASA-7-609001:内置的本地主机WAN:22.22.22.23
%ASA-6-302020:为faddr 22.22.22.23/0(LOCAL1.1.1.2)gaddr 11.11.11.12/1285建立了出站ICMP连接laddr 11.11.11.12/1285
%ASA-6-302020:为faddr 22.22.22.23/0(LOCAL1.1.1.2)gaddr 11.11.11.12/1285建立了内置的ICMP连接laddr 11.11.11.12/1285
%ASA-6-302021:faddr 22.22.22.23/0(LOCAL1.1.1.2)gaddr 11.11.11.12/1285的拆卸ICMP连接laddr 11.11.11.12/1285
%ASA-6-302021:faddr 22.22.22.23/0(LOCAL1.1.1.2)gaddr 11.11.11.12/1285的拆卸ICMP连接laddr 11.11.11.12/1285
%ASA-7-609002:拆除本地主机WAN:22.22.22.23持续时间0:00:02
%ASA-7-609002:拆除本地主机LAN:11.11.11.12持续时间0:00:02
%ASA-7-111009:用户“ enable_15”已执行cmd:显示crypto ipsec sa

通过 约翰

发表评论