Cisco ASA5520防火墙网络环境模拟与ipsec VPN site-to-site 配置笔记

CiscoASA5520防火墙网络环境模拟与ipsecVPNsite-to-site配置笔记一、网络结构1.拓扑当然R1可以省略，把两端ASA外口设置同网段即可，但为了实现效果好点就加上了。2.实验目的--通过VPN，总部与分部的私有IP地址相互ping通--总部与分部的数据实现IPSec通信。3.环境搭建3.1需要用到的软件有：Vmware6.5;SecureCRT;NamedPipeTCPProxy;//用于代理vmware的串口端口，给本地计算机连接，也就是SecureCRT连接asa_install_v1.4.iso//asa5520在vmware上的安装镜像。自己到网上下载。Dynagen//用于路由器和交换机的模拟器，本文用于桥接两端ASA.3.2重点图要虚拟机的ASA5520安装与网卡桥接安装过程我就略了，放入镜像光盘，启动虚拟机，出现界面，一直按回车就ok了。注意的是一定要IDE的虚拟硬盘，256M的内存。这里的\\.pipe\asa要以虚拟机VMware里的一致，端口是用来给SecureCRT登陆的。如图，连上后就可以看见asa启动起来的界面了。路由器R1（Dynagen不懂的，网上查资料）:4.基本配置4.1--R1上:confthostnameR1noipdomain-lookupipclasslessipsubnet-zerointe0/0ipadd2.2.2.1255.255.255.240noshinte0/1ipadd1.1.1.1255.255.255.240noshendshowipintbrief4.2--总部ASA1:confthostnameasaenablepasswordtestpasswdtest123inte0/0nameifinsidesecurity-level100ipadd192.168.1.1255.255.255.0noshinte0/1nameifdmzsecurity-level50ipadd10.0.0.1255.255.255.0noshinte0/2nameifoutsidesecurity-level0ipadd1.1.1.2255.255.255.240noshend//以上为在接口上设定安全级别，接口类型，并配置ip地址。confthttpserverenable443http00insidehttp00outsideusernametestpassword123456privilege15//启用Cisco的ASDM管理器，设定用户和密码conftcryptokeygeneratersamodulus1024aaaauthenticationsshconsoleLOCALusernamessh_userpassowrd123456ssh192.168.1.0255.255.255.0insidessh00outsidesshtimeout30sshversion2exit//启用sshconftaccess-listicmpextendedpermiticmpanyanyaccess-groupicmpininterfaceoutsideaccess-groupicmpininterfacedmzaccess-groupicmpininterfaceinsideendconftaccess-listipextendedpermitipanyanyaccess-groupipininterfaceoutsideaccess-groupipininterfacedmzaccess-groupipininterfaceinsideend//以上两部分为，创建访问列表，定义允许的数据流conftnat-controlnat(inside)1192.168.1.0255.255.255.0nat(dmz)100global(outside)1interfaceglobal(dmz)1interfaceend//以上为启用nat转换conftrouteoutside0.0.0.00.0.0.01.1.1.1//默认静态路由4.3---分部ASA2:confthostnameasa2enablepasswordtestpasswdtest123inte0/0nameifinsidesecurity-level100ipadd192.168.2.1255.255.255.0noshinte0/1nameifoutsidesecurity-level0ipadd2.2.2.2255.255.255.240noshendconfthttpserverenable443http00insidehttp00outsideusernametestpassword123456privilege15conftaccess-listicmpextendedpermiticmpanyanyaccess-groupicmpininterfaceoutsideaccess-groupicmpininterfaceinsideendconftaccess-listipextendedpermitipanyanyaccess-groupipininterfaceoutsideaccess-groupipininterfaceinsideendconftnat-controlnat(inside)1192.168.2.0255.255.255.0global(outside)1interfaceendconftrouteoutside002.2.2.14.4—测试它们之间的连通R1:路由器上接口都启动起来了总部ASA，到R1和分部ASA2都是通的如果没有ping通,请查看配置是否正确，还有Vmware和R1与电脑上的虚拟网卡桥接是否正常，桥接的ip配置是否正确（桥接的Ip最好在同一网段）,如：此时，因为还未配置VPN，两边私有网络之间是不通的。4.5—测试ASDM（本文未用到）5.IPSecVPN配置5.1--原理：IPSec的实现主要由两个阶段来完成：--第一阶段，双方协商安全连接，建立一个已通过身份鉴别和安全保护的通道。--第二阶段，安全协议用于保护数据的和信息的交换。其过程涉及到数据加密(DES、3DES)，校验算法(SHA、MD5)，公钥密码协议(DH)，Internet密钥交换（IASKMP、IKE）..等等。IPSec有两个安全协议：AH和ESPAH主要用来对数据进行完整性校验和身份认证，ESP则提供机密性，数据完整性等安全服务。无论是AH还是ESP都有涉及到了加密算法和验证算法，它们都由SA指定。而它们的密钥有很多，这样就需要密钥管理机制ISAMKP（Internet密钥交换协议）5.2--ASA:--------------------------------------------------------------------这是第一阶段-------------------------------------------------------------------------------------conftcryptoisakmppolicy10//启用并创建一个ISAKMP策略，并指定优先级为10encryption3des//指定对称加密算法，有3des、des、ase等hashsha//指定信息摘要算法，校验算法有sha、md5等authenticationpre-share//pre-share为预共享密钥，一般指定这个，当然还有rsa-sig、rsa-encrgroup2//指定DH分组编号，1为768位，2为1024位lifetime5000//指定SA生存期endconftisakmpkeytest-vpnaddress2.2.2.2//ISAKMP中标识对方的ip,并指定test-vpn为密码----------------------------------------------------------以下是第二阶段，并应用到接口上-----------------------------------------------------------------------cryptoipsectransform-setmytrans01esp-3desesp-sha-hmac//创建变换集mystrans01，可以多个。esp-3des为对称加密算法，esp-sha-hmac为ipsec体系中esp协议的sha校验//交换集主要是是用来定义数据加密和完整性校验用的算法。cryptoipsectransform-setmytrans01esp-desesp-md5-hmac//esp-des为对称加密算法，esp-md5-hmac为ipsec体系中esp协议的md5校验-------access-listipsec-datapermitip10.0.0.0255.255.255.0192.168.2.0255.255.255.0access-listipsec-datapermitip192.168.1.0255.255.255.0192.168.2.0255.255.255.0nat(dmz)0access-listipsec-datanat(inside)0access-listipsec-data//以上为定义感兴趣的数据流，并且不要在inside、DMZ接口上做nat转换.cryptomapmymap10ipsec-isakmp//创建加密图，名称为mymap，序列号为10，10和上面的policy10没联系。cryptomapmymap10matchaddressipsec-data//匹配感兴趣的数据流，也是前面定义的ipsec-datacryptomapmymap10setpeer2.2.2.2//指定对方的ipcryptomapmymap10settransform-setmytrans01//指定的交换集为前面创建的mytrans01cryptomapmymap10setpfsgroup2//向前密钥保护功能（可以不指定）cryptomapmymapinterfaceoutside//加密图应用到接口outside上cryptoisakmpenableoutside//在outside上启用ISAKMPend//以上部分可以这样理解，加密图把各个独立的部分联系起来。ISAKMP为Internet密钥管理协议，//它是为了对IPSec密钥的管理，并在接收双方在算法和密钥上达成共识。--------------------------------------------------------------------------------------------------------------------------------------------------------------------5.3--ASA2:conftcryptoisakmppolicy10encryption3deshashshaauthenticationpre-sharegroup2lifetime5000endconftisakmpkeytest-vpnaddress1.1.1.2cryptoipsectransform-setmytrans01esp-3desesp-sha-hmaccryptoipsectransform-setmytrans01esp-desesp-md5-hmacaccess-listipsec-datapermitip192.168.2.0255.255.255.010.0.0.0255.255.255.0access-listipsec-datapermitip192.168.2.0255.255.255.0192.168.1.0255.255.255.0nat(inside)0access-lis