CCIE安全性:站点到站点ASA 虚拟专用网

在本文中,我将配置与ASA作为对等站点的站点到站点VPN。这篇文章不会太长,因为其配置几乎与使用加密映射并稍有语法更改的路由器上的配置相同。 

在构建站点到站点VPN配置时,请记住每个阶段需要什么。

阶段1

这是创建双向ISAKMP通道进行协商的地方。 您应该创建的第一件事是策略。一个策略至少应包含以下内容:

  • 身份验证方法
  • 加密演算法
  • 哈希算法 
  • Diffie-Hellman集团

 

我们在如下所示的加密ISAKMP策略中定义它们:

crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 1800

接下来,我们将要指定ISAKMP对等点以及用于建立该ISAKMP隧道的密钥:

tunnel-group 2.2.2.1 type ipsec-l2l
tunnel-group 2.2.2.1 ipsec-attributes
ikev1 pre-shared-key cisco123

至此,您已经完成了阶段1所需的基本配置。

让我们进入第二阶段。

 

阶段2

此阶段的目的是在对等方(IPSec SA)之间建立两个单向通道,以便可以安全地发送数据。为了建立这些渠道,需要满足以下条件:

  1. 加密演算法
  2. 哈希算法
  3. 定义应该加密哪些“有趣”流量(代理ID)
  4. 定义谁是谁 
  5. 将加密货币应用于接口

 

要定义前两个要求,您将创建一个IPSec转换集,在其中定义加密和哈希算法:

cyrpto ipsec ikev1 transform-set <tset-name> esp-aes esp-sha-hmac

我们还可以在此时配置IPSec安全关联生存期

crypto ipsec security-association lifetime seconds 1800

 

 

对于下一个需求,我们将在访问列表中定义有趣的流量。基本上,这就是应该对流量进行加密并通过VPN传递的内容。您将指定本地子网和远程子网。

access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

 

然后,我们将所有需求1到4捆绑在一起,称为“加密映射”,然后将其应用于接口。然后在将应用加密映射的接口上启用IKEv1。

crypto map <map-name> <num> set ikev1 transform-set <tset-name>
crypto map <map-name> <num> set peer <peer-ip>
crypto map <map-name> <num> match address 101
crypto ikev1 enable <interface-nameif>

最后,我们将把IPSec配置中的所有元素联系在一起的加密映射,并将其应用于接口

crypto map <map-name> interface <interface-nameif>

验证

此时,我们将要验证VPN是否正常工作。如果没有流量通过隧道,则最初不会看到任何东西。如果您发出 显示crypt ipsec sa 要么 显示crypto isakmp sa,最初您将不会在输出中看到任何内容:

要建立VPN,我们要启动从隧道一侧到另一侧的流量。它应该在第一次ping后出现。如果再次发出上述show命令,则会看到IPSec和ISAKMP SA。

作为一个 上的调试命令与IOS的语法略有不同。您通常会发现自己使用的两个调试是 调试加密ikev1 <debug level> and 调试加密ipsec <debug level>。由于IPSec的过程在本质上是相同的,因此无论语法如何,您仍将对“主模式”和“快速模式”消息进行故障排除并寻找相同的内容。