root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Cisco asa site to site vpn multiple subnets


- Bài lab này khá giống với bài [Lab 16.3] vpn site to site between router and asa

- Nhưng ở đây có quy mô lơn hơn và cách sử dụng NAT ở bài này có sự khác biệt đôi chút so với bài cũ. Nhưng về mặt ý tưởng thì có thể nói là tương tự nhau


I. Sơ đồ Cisco asa site to site vpn multiple subnets
1. Mô hình Cisco asa site to site vpn multiple subnets

Cisco asa site to site vpn multiple subnets (1)


2. Yêu cầu lab Cisco asa site to site vpn multiple subnets
- Cấu hình để VPN site-to-site giữa Router và Firewall để Pc trong các mạng LAN giữa Firewall và Router có thể truy cập lẫn nhau
- Pc trong các LAN có thể đi internet bình thường (nat exemption)
- sơ đồ IP


Cisco asa site to site vpn multiple subnets (2)


II. Cấu hình IP và định tuyến
1. Cấu hình Router ISP
- Cấu hình IP, NAT


Code:
ISP(config)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown

SP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f1/0

ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside


2. Router R2
- Cấu hình IP và default-route về ISP


Code:
R2(config)#int f0/0
R2(config-if)#ip address 152.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#int f0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config)#ip route 0.0.0.0 0.0.0.0 152.2.2.254


3. Trên ASA
- Cấu hình IP, nameif, inspection icmp và đinh tuyến về ISP.


Code:
ASA(config-if)# int g0
ASA(config-if)# nameif outside
ASA(config-if)# ip address 151.1.1.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g1
ASA(config-if)# nameif inside
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g2
ASA(config-if)# nameif inside2
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.12.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g3
ASA(config-if)# nameif inside3
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.13.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g4
ASA(config-if)# nameif inside4
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.14.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config)#fixup protocol icmp
ASA(config)# route outside 0 0 151.1.1.254


III. Cấu hình IPSEC VPN và NAT trên Cisco ASA và Router
1. IPSEC-VPN và NAT trên Router R2
- Cấu hình IPSEC-VPN site-to-site trên R2


Code:
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400

R2(config)#crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac

R2(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 any

R2(config)#crypto map ASA-VPN 10 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set peer 151.1.1.1
R2(config-crypto-map)#set transform-set SVUIT

R2(config)#int f0/0
R2(config-if)#crypto map ASA-VPN

R2(config)#crypto isakmp key 0 svuit.com address 151.1.1.1


- Cấu hình PAT để PC ra internet và cấu hình ACL bypass NAT để PC có thể VPN


Code:
R2(config)#ip access-list extended NAT
// Câu này sẽ deny các traffic từ trong LAN đi đến vùng inside của ASA (chính là traffic VPN)

Code:
R2(config)# deny ip any 192.168.10.0 0.0.0.255
R2(config)# deny ip any 192.168.12.0 0.0.0.255
R2(config)# deny ip any 192.168.13.0 0.0.0.255
R2(config)# deny ip any 192.168.14.0 0.0.0.255

// còn lại thì cho phép tất cả đều được NAT

Code:
R2(config-ext-nacl)#permit ip any any


2. Trên Cisco ASA
- Cấu hình IP-SEC VPN site-to-site trên ASA với peer là R2 (152.2.2.2)


Code:
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

//Bước 1: Tạo Policy SVUIT

Code:
ASA(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac

//Bước 2: ACL cho phép traffic nào được vào hầm

Code:
ASA(config)# object-group network INSIDE-ASA
ASA(config-network-object-group)# network-object 192.168.10.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.12.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.13.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.14.0 255.255.255.0

ASA(config-network-object-group)# object-group network INSIDE-R2
ASA(config-network-object-group)# network-object 10.2.2.0 255.255.255.0

ASA(config)# access-list VPN-TRAFFIC permit ip object-group INSIDE-ASA object-group INSIDE-R2

//Bước 3: cấu hình crypto map

Code:
ASA(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA(config)# crypto map ASA-VPN 10 set peer 152.2.2.2
ASA(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT

//Bước 4: apply crypto map và IKEV1 vào interface


Code:
ASA(config)# crypto map ASA-VPN interface outside
ASA(config)# crypto ikev1 enable outside

// Bước 5: cấu hình tunnel-group

Code:
ASA(config)# tunnel-group 152.2.2.2 type ipsec-l2l
ASA(config)# tunnel-group 152.2.2.2 ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA(config-tunnel-ipsec)# exit


- Thực hiện PAT để PC trong inside ra internet và Nat-exemption để by pass NAT khi VPN. Ở đây nó có số 1 và số 2 để bạn dễ hình dùng hi traffic đi qua bảng NAT nó sẽ kiểm tra dòng số 1 nếu ko phải là VPN thì nó mới chạy xuống dòng 2 thực hiện NAT overload.

//----------- PAT ----

Code:
ASA(config)#nat (any,outside) 2 source dynamic INSIDE-ASA interface

//--- NAT exemption -------------

Code:
ASA(config)#nat (any,outside) 1 source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2
 
Last edited:

IV. Kiểm tra cấu hình lab Cisco asa site to site vpn multiple subnets


- Kiểm tra các PC trong các LAN ping được lẫn nhau qua đường VPN site-to-site
- PC trong inside ASA ping được ra internet và PC trong LAN của Router R2.

Cisco asa site to site vpn multiple subnets (4)


- PC trong LAN của Router R2 cũng đi được internet và ping được PC trong inside của ASA.

Cisco asa site to site vpn multiple subnets (5)


- Kiểm tra crypto ikev1
ciscoasa(config)# sh crypto ikev1 sa


IKEv1 SAs:


Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1


1 IKE Peer: 152.2.2.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE


- Kiểm tra IPSEC
ciscoasa(config)# sh crypto ipsec sa
interface: outside
Crypto map tag: ASA-VPN, seq num: 10, local addr: 151.1.1.1


access-list VPN-TRAFFIC extended permit ip 192.168.11.0 255.255.255.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 152.2.2.2


#pkts encaps: 86, #pkts encrypt: 86, #pkts digest: 86
#pkts decaps: 70, #pkts decrypt: 70, #pkts verify: 70
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 86, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0


local crypto endpt.: 151.1.1.1/0, remote crypto endpt.: 152.2.2.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 3E4E941A
current inbound spi : DA2C765D


inbound esp sas:
spi: 0xDA2C765D (3660346973)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000FFFFF
outbound esp sas:
spi: 0x3E4E941A (1045337114)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

- Kiểm tra bảng NAT
ciscoasa(config)# sh nat
Manual NAT Policies (Section 1)
1 (any) to (outside) source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2
translate_hits = 3, untranslate_hits = 4
2 (any) to (outside) source dynamic INSIDE-ASA interface
translate_hits = 5, untranslate_hits = 11


- Kiểm tra trên PC 192.168.12.12

Cisco asa site to site vpn multiple subnets (6)


Kiểm tra tương tự trên PC 192.168.13.13

Cisco asa site to site vpn multiple subnets (7)


Kiểm tra tương tự trên PC 192.168.14.14


Cisco asa site to site vpn multiple subnets (8)
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu