如安在ASA防火墙上完成ipsec ***51CTO博客 - 娱乐之横扫全球

如安在ASA防火墙上完成ipsec ***51CTO博客

2019-01-03 10:41:18 | 作者: 飞莲 | 标签: 防火墙,装备,路由器 | 浏览: 819

博主QQ:819594300

博客地址: >有什么疑问的朋友能够联络博主,博主会帮你们回答,谢谢支撑!

本文章介绍三个部分内容:

①ipsec ***毛病排查

②如安在ASA防火墙上装备ipsec ***

③防火墙与路由器装备ipsec ***的差异

阐明:在ASA防火墙装备ipsec ***与路由器的不同不是很大,并且原理相同,就是个别指令不相同。

一、ipsec ***毛病排查

1、show crypto isakmp sa指令

经过这个指令能够了解办理衔接所在的状况:

2、debug crypto isakmp指令

经过这个指令假设想愈加具体的知道衔接的整个进程:

该指令在实践工作中最常用于确诊和排查办理衔接呈现问题的指令。

①毛病实例(一)

将路由器的加密算法有des改为3des,这时对等体阶段1的加密算法显着不匹配,经过debug crypto isamkp指令能够很清楚的看到这点。

阐明:路由器仍然会逐条比照传输集,之后发现encryption algorithm offered does not match policy!(加密算法不匹配),所以atts are not acceptable(战略不被承受)。然后路由器会与本地的默许战略进行比照,假设仍然没有匹配战略,就会得出结论no iffers accepted(没有匹配战略),最终路由器回到NM_NO_STATE状况。

②毛病实例(二)

路由器两头设置的预同享秘钥key不同,这时阶段1的传输集是匹配的,但后续的验证进程无法经过,这一点也能够经过debug crypto isakmp指令看到。

阐明:榜首部分阐明匹配的传输集现已找到(atts are acceptable),开端后续的秘钥交流以及身份验证的进程,但第二部分中“IKE message from 10.0.0.1 failed its sanity check or is malformed”阐明进行身份验证的信息没有经过完整性检测或缺失部分信息,即验证失利。最终路由器就会停在NM_KEY_EXCH状况,这点能够经过show crypto isakmp sa指令检查。

二、在cisci asa防火墙上装备完结ipsec ***

1、试验拓扑

2、试验方针:

1)分支公司的开发项目小组能够经过***拜访总公司研制效劳器,但不能拜访Internet。

2)分公司的其他客户端(dmz)能够拜访Internet。

3、留意事项

1)asa防火墙网卡模块修改为pcnet,对防火墙右键---挑选“装备”。

2)敞开asa之后弹出的界面不要封闭

4、试验进程

1)装备全部设备的ip地址和路由

装备R4:

装备R1:

装备ASA1:

装备R2:

装备ASA2:

装备R3:

2)装备ASA1防火墙***

①装备NAT并发动nat-control

②装备NAT豁免(即带ACL的nat 0)

access-list nonat extended permit ip 192.168.1.0

255.255.255.0  172.16.10.0 255.255.255.0  

(截图看不清楚的我又写了一遍)

阐明:0代表该条目不必被NAT转化,亦称为“豁免”。这儿需求反过来想问题,之前装备路由器的时分都是匹配ACL的享有NAT的效劳,这儿正好相反,匹配ACL的能够“豁免”NAT的效劳。但有个问题需求留意,很多人会说NAT豁免底子没有含义,用ACL的deny就能够完结NAT豁免。

③树立ISAKMP战略:

④装备预同享密钥

⑤装备crypto ACL

access-list yf*** extended permit ip 192.168.1.0

255.255.255.0  172.16.10.0255.255.255.0

(截图看不清楚的我又写了一遍)

⑥装备交流数据衔接的传输集

⑦装备crypto map

⑧将crypto map应用到outside接口上使其收效。

3)装备ASA2的***(装备进程和ASA相同,就是对等体的IP地址不相同,别的ASA2不必做NAT)

5、测验

1)在R1上pingR3,能够ping通(因为有***)

2)在R2上敞开telnet(因为防火墙默许回绝全部ping)

3)在R1上telnet R2,提示不能拜访(阐明R1不能拜访internet)

4)在R4上telnet R2(能够拜访,因为R1做了动态PAT或静态NAT)

试验完结阐明:到此为止完结了,开发项目小组能够经过***拜访总公司研制效劳器,但不能拜访Internet。

分公司的其他客户端能够拜访Internet。

三、防火墙和路由器的差异

阐明:防火墙因为本身IOS原因,在装备指令方面与路由器有必定差异,但并不十分显着。这儿要点介绍两个方面:

1、默许装备的差异

在树立办理衔接的进程中,cisco asa防火墙和路由器默许情况下运用的参数不同。

Cisco asa防火墙运用的参数如下:

在ASA上检查参数:

在路由器上运用show crypto isakmp policy:

防火墙不支撑指令show  crypto isakmp  policy,要想检查办理衔接的默许参数,需求在初始装备下启用ISAKMP战略,然后经过指令show  run进程调查。与路由器比较,默许的加密变为3DES,默许的DH组运用2,默许的设备验证办法变为预同享密钥,而默许的HASH算法以及生计周期没有改变。

ASA防火墙采用了更为安全的默许设置,这是cisco公司设备技能个新的一种体现。需求留意的是,假设ipsec对等体两边是ASA防火墙和cisco路由器,那么运用默许的ISAKMP战略是无法树立衔接的。

2、IKE洽谈默许是否敞开

默许情况下,IKE洽谈在路由器是敞开的,而在ASA防火墙是封闭的。因而,在ASA防火墙中有必要运用指令crypto  isakmp enable outside

敞开IKE洽谈。

3、地道组特性的引进

严厉含义上说,这并不能算是防火墙和路由器的装备差异,而是防火墙6.x版别升级到7.0版别引进的新特性,它首要用于简化ipsec会话的装备和办理。并且路由器装备同享密钥key的指令(crypto isakmp key key-string addresspeer-address),ASA防火墙仍然支撑。

4、接口安全级别关于ipsec流量的影响。

防火墙存在一种约束,假设流量从一个接口进入,就不能从相同安全级别的端口流出。即流量不能在一致安全级别的端口之间传输,这首要是从安全方面考虑而设定的一种特性,但可能对ipsec流量形成必定的影响。

假设ASA防火墙处于网络的中心节点(如公司总部),为了完结对分公司网络流量的一致办理,要求分公司之间的拜访流量有必要经过总公司。这就会呈现上述情况,形成分公司之间无法通讯。这时就需求运用如下指令来完结。

上面指令最终两个参数的差异:

Intra-interface参数答应流量进入和脱离同一个接口,多用于L2L会话中的中心设备;

inter-interface参数答应流量进入和脱离具有相同安全级别的两个不同的接口,多用于长途拜访***会话中的Easy ***网关。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表娱乐之横扫全球立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章