如何在ASA防火墙上实现ipsec vpn 推荐 原创 Mr大表哥 2017-05-30 22:10:51 博主文章分类:H3C与*** ©著作权 文章标签 防火墙 实现 ASA 文章分类 网络安全 ©著作权归作者所有:来自51CTO博客作者Mr大表哥的原创作品,请联系作者获取转载授权,否则将追究法律责任 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!本文章介绍三个部分内容:①ipsec vpn故障排查②如何在ASA防火墙上配置ipsec ×××③防火墙与路由器配置ipsec ×××的区别说明:在ASA防火墙配置ipsec ×××与路由器的差别不是很大,而且原理相同,就是个别命令不一样。一、ipsec ×××故障排查1、show crypto isakmp sa命令通过这个命令可以了解管理连接所处的状态:2、debug crypto isakmp命令通过这个命令如果想更加详细的知道连接的整个过程:该命令在实际工作中最常用于诊断和排查管理连接出现问题的命令。①故障实例(一)将路由器的加密算法有des改为3des,这时对等体阶段1的加密算法显然不匹配,通过debug crypto isamkp命令可以很清楚的看到这点。说明:路由器依然会逐条对比传输集,之后发现encryption algorithm offered does not match policy!(加密算法不匹配),所以atts are not acceptable(策略不被接受)。然后路由器会与本地的默认策略进行对比,如果依然没有匹配策略,就会得出结论no iffers accepted(没有匹配策略),最后路由器回到NM_NO_STATE状态。②故障实例(二)路由器两端设置的预共享秘钥key不同,这时阶段1的传输集是匹配的,但后续的验证过程无法通过,这一点也可以通过debug crypto isakmp命令看到。说明:第一部分说明匹配的传输集已经找到(atts are acceptable),开始后续的秘钥交换以及身份验证的过程,但第二部分中“IKE message from 10.0.0.1 failed its sanity check or is malformed”说明进行身份验证的信息没有通过完整性检测或缺失部分信息,即验证失败。最后路由器就会停在NM_KEY_EXCH状态,这点可以通过show crypto isakmp sa命令查看。二、在cisci asa防火墙上配置实现ipsec vpn1、实验拓扑2、实验目标:1)分支公司的开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。2)分公司的其他客户端(dmz)可以访问Internet。3、注意事项1)asa防火墙网卡模块修改为pcnet,对防火墙右键---选择“配置”。2)开启asa之后弹出的界面不要关闭4、实验步骤1)配置所有设备的ip地址和路由配置R4:配置R1:配置ASA1:配置R2:配置ASA2:配置R3:2)配置ASA1防火墙×××①配置NAT并启动nat-control②配置NAT豁免(即带ACL的nat 0)access-list nonat extended permit ip 192.168.1.0255.255.255.0 172.16.10.0 255.255.255.0 (截图看不清楚的我又写了一遍)说明:0代表该条目不用被NAT转换,亦称为“豁免”。这里需要反过来想问题,之前配置路由器的时候都是匹配ACL的享有NAT的服务,这里正好相反,匹配ACL的可以“豁免”NAT的服务。但有个问题需要注意,很多人会说NAT豁免根本没有意义,用ACL的deny就可以实现NAT豁免。③建立ISAKMP策略:④配置预共享密钥⑤配置crypto ACLaccess-list yfvpn extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0255.255.255.0(截图看不清楚的我又写了一遍)⑥配置交换数据连接的传输集⑦配置crypto map⑧将crypto map应用到outside接口上使其生效。3)配置ASA2的×××(配置过程和ASA一样,就是对等体的IP地址不一样,另外ASA2不用做NAT)5、测试1)在R1上pingR3,可以ping通(因为有vpn)2)在R2上开启telnet(因为防火墙默认拒绝一切ping)3)在R1上telnet R2,提示不能访问(说明R1不能访问internet)4)在R4上telnet R2(可以访问,因为R1做了动态PAT或静态NAT)实验完成说明:到此为止实现了,开发项目小组可以通过×××访问总公司研发服务器,但不能访问Internet。分公司的其他客户端可以访问Internet。三、防火墙和路由器的区别说明:防火墙由于自身IOS原因,在配置命令方面与路由器有一定区别,但并不非常明显。这里重点介绍两个方面:1、默认配置的区别在建立管理连接的过程中,cisco asa防火墙和路由器默认情况下使用的参数不同。Cisco asa防火墙使用的参数如下:在ASA上查看参数:在路由器上使用show crypto isakmp policy:防火墙不支持命令show crypto isakmp policy,要想查看管理连接的默认参数,需要在初始配置下启用ISAKMP策略,然后通过命令show run进程观察。与路由器相比,默认的加密变为3DES,默认的DH组使用2,默认的设备验证方法变为预共享密钥,而默认的HASH算法以及生存周期没有变化。ASA防火墙采用了更为安全的默认设置,这是cisco公司设备技术个新的一种表现。需要注意的是,如果ipsec对等体双方是ASA防火墙和cisco路由器,那么使用默认的ISAKMP策略是无法建立连接的。2、IKE协商默认是否开启默认情况下,IKE协商在路由器是开启的,而在ASA防火墙是关闭的。因此,在ASA防火墙中必须使用命令crypto isakmp enable outside开启IKE协商。3、隧道组特性的引入严格意义上说,这并不能算是防火墙和路由器的配置差异,而是防火墙6.x版本升级到7.0版本引入的新特性,它主要用于简化ipsec会话的配置和管理。而且路由器配置共享密钥key的命令(crypto isakmp key key-string addresspeer-address),ASA防火墙依然支持。4、接口安全级别对于ipsec流量的影响。防火墙存在一种限制,如果流量从一个接口进入,就不能从相同安全级别的端口流出。即流量不能在统一安全级别的端口之间传输,这主要是从安全方面考虑而设定的一种特性,但可能对ipsec流量造成一定的影响。假如ASA防火墙处于网络的中心节点(如公司总部),为了实现对分公司网络流量的统一管理,要求分公司之间的访问流量必须通过总公司。这就会出现上述情况,造成分公司之间无法通信。这时就需要使用如下命令来实现。上面命令最后两个参数的区别:Intra-interface参数允许流量进入和离开同一个接口,多用于L2L会话中的中心设备;inter-interface参数允许流量进入和离开具有相同安全级别的两个不同的接口,多用于远程访问×××会话中的Easy ×××网关。 赞 收藏 评论 分享 举报 上一篇:oracle系列(五)高级DBA必知的Oracle的备份与恢复(全录收集) 下一篇:如何远程访问VPN之easy VPN 提问和评论都可以,用心的回复会被更多人看到 评论 发布评论 全部评论 () 最热 最新 相关文章 IPSEC vpn详解 IPSEC VPN ci Standard Time iptables实现网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链192开头的IP地址模拟内网,使用的是虚拟机中的NAT模式,172开头的IP地址这里充当外网IP,使用的是桥接 172.16.8.78 外网IP地址 192.168.1.7 内网IP地址充当网关, 将主机名设置为Firewalld,只是为了区分清楚hostnamectl 自定义 外网 内网 如何在RHEL,CentOS和Fedora中安装CSF开源防火墙 关于 ConfigServer Security & Firewall (CSF)防火墙是增加服务器安全性的非常有用且非常强大的方法。它可以保护您的服务器免受恶意软件、DDOS、暴力破解、后门、rootkit 和服务器上的本地漏洞的侵害。CSF(ConfigServer Security & Firewall)是高级防火墙和安全应用程序。它是一个开源应用程序。安装所需的 CSF 模 CSF防火墙 centos RHEL Fedora 漏洞入侵 ASA防火墙上实现IPSec ××× 在ASA防火墙上实现IPSec VPN实验案例nIPSec VPN故障排查1.show cryptoisakmp sa上一章已经简单讲解了命令“show cryptoisakmp sa”,通过它可以了解管理连接所处的状态(这里只介绍主模式)。MM_NO_STATE:ISAKMP SA建立的初始状态,管理连接建立失败也会处于该状态。MM_SA_SETUP:对等体之间ISAKMP策略协商成功后处于该 防火墙 ASA 在ASA防火墙上实现IPSec *** 在ASA防火墙配置IPSec ***与路由器的差别不是很大,而且原理相同。下面通过一个实验案例,来了解***在防火墙上的配置及在配置方面与路由器的区别 ASA *** IPSec 防火墙 杨书凡 asa防火墙上实现IPSec VPN 一、ipsec VPN故障排查Ipsec vpn在实际工作中应用很广,如何组建ipsec对等体实现VPN通信,还应具备一定的故障排查。1、show cryptoisakmp sa命令通过这个命令可以了解管理连接所处的状态:NM_NO_STATE:ISAKMP SA 建立的初始状态,管理连接建立失败也会处于该状态。NM_SA_SETUP:对等体之间ISAKMP策略协商成功后处于该状态。NM_KEY_ 加密 防火墙 路由器 ASA防火墙上实现IPSec 虚拟专用网 1.虚拟专用网可以通过IPSec虚拟专用网原理与配置理解虚拟专用网2.IPsec虚拟专用网故障排查(×××)通过它可以了解管理连接所处的状态(debugcryptoisakmp)通过该命令是实际工作中最常用于诊断和排查管理连接出现问题的命令3.防火墙与路由器的区别IKE协商默认是否开启默认情况下,IKE协商在路由器中是开启的,而在ASA防火墙中是关闭的隧道组特性引入接口安 ASA防火墙上实现IPSec 虚拟专用 【原创】ASA防火墙上实现QoS ASA防火墙上实现QoS1、 实现要求:将总部与分公司的Site-to-Site VPN放入优先级队列,使VPN的流量能够得以优先转发;将本人用的计算机放入优先级队列,让自己上网更快一些(一点私心,呵呵)。2、 实现方案:VPN的流量放入优先级队列比较好实现,对流量进行分类,直接匹配VPN的流量,然后放入到优先级队列中,应用到外部接口。而对于将指定的地址放入到优先级 职场 qos 休闲 ASA ASA防火墙IPSEC &n 防火墙 IP地址 address ASA防火墙实现IPSec VPN 目的:实现PC1与PC2通讯使用VPN隧道,PC1通过PAT能远程telnet到R2。1.建立连接.pc1int f 0/0ip add 192.168.1.2 255.255.255.0 no shexitno ip routingip default-gateway 192.168.1.1pc2int f 0/0ip add 192.168.2.2 255.255.255.0no s 防火墙 实现 ASA ASA防火墙上配置IPSEC_×××和SSL_××× 二:实验要求:1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以喝总公司的PC2通信.(Site-to-Site IPSEC VPN实现)2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现) Security ASA防火墙上配置IPSEC VPN和SSL VPN 二:实验要求:1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以和总公司的PC2通信.(Site-to-Site IPSEC VPN实现)2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现)三:配置过程:1:基本配置:ASA1(config)# int e0/1ASA1(config-if)# nameif insideI cisco 服务器 防火墙 ASA防火墙IPSEC ×××配置 一.IPSEC VPN (site to site)第一步:在外部接口启用IKE协商crypto isakmp enable outside 第二步:配置isakmp协商 策略isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share&nbs VPN 防火墙 IPSEC 休闲 ASA ASA防火墙ipsec vpn crypto isakmp enable outsidecrypto isakmp policy 1 encryption 3des|des|aeshash sha|md5authentication pre-share|rsa-encr|rsa-siggroup 1|2|5lifetime 120-access-list 100-199 permit|deny ip cryp vpn 防火墙 asa 在Cisco的ASA防火墙上实现IPSec虚拟专用网 博文大纲:一、网络环境需求二、配置前准备三、配置虚拟专用网四、总结前言:之前写过一篇博文:Cisco路由器之IPSec虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下。注:虚拟专用网:(VirtualPrivateNetwork),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部 Cisco的ASA配置虚拟专用网详解 配置ASA虚拟专用网 在飞塔防火墙上实现IPSec ××× FG IPSec VPN 首先感谢Fortinet支持中心群网友海宝支持,以及雅木的整理,龙卷风负责51CTO上作品的修改与编辑。希望大家多多支持。假设总部A与分公司B做ipsecVPN(通道模式)A为FG200B 当前系统为v4.0,build031 VPN 防火墙 休闲 飞塔 IPSEC VPN 在ASA防火墙上配置NAT 一共有6种NAT,一个流量过来,匹配的顺序,优先级别从低到高依次是:动态pat,动态nat,策略nat,静态pat,静态nat,免疫nat此实验inside表示接口安全级别高,outside表示接口安全级别低。相关命令:Show xlate detail显示转换槽的内容Show connection detail说明了活跃的连接的连接的数目和信息Show&n 防火墙 NAT 动态 outside ASA Cisco ASA防火墙上面配置 ××× 图解Cisco ASA防火墙上面配置Remote VPN随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。Remote VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN300 Cisco 职场 VPN 防火墙 休闲 ASA防火墙上部署SLA 思科路由器里有sla,用来监视目的地是否可达情况,根据监视来调整本地网络设备的路由配置,很好用作为ASA当然也有这个功能,我使用的版本是8.4版。8.0以上的都有,有可能命令有点变化,以前8.1的版本也配置过,8.0以下的不确定。下面简单说一下用法,一看就明白。route outside 0.0.0.0 0.0.0.0 122.*.*.185 1 track 1route ou cisco 防火墙 SLA ASA ASA防火墙IPSEC VPN配置 一.IPSEC VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre- vpn IPsec ASA