VPN [Lab 16.1] IPSEC site to site vpn cisco asa 8.2

root · Jun 29, 2014

IPSEC site to site vpn cisco asa 8.2

Lab cấu hình ASA để thiết lập VPN Site-to-Site giữa 2 site. Bài lab này sẽ sử dụng IPsec VPN trên Cisco ASA 8.2 để thiết lập kết nối giữa 2 site.

I. Mô hình và yêu cầu Lab IPSEC site to site vpn cisco asa 8.2

1. Mô hình Lab IPSEC site to site vpn cisco asa 8.2

2. yêu cầu Lab IPSEC site to site vpn cisco asa 8.2

- Cấu hình VPN site-to-site để client trong inside của ASA1 và ASA2 có thể giao tiếp được với nhau.
- Sơ đồ IP Lab IPSEC site to site vpn cisco asa 8.2

II. Triển khai Lab IPSEC site to site vpn cisco asa 8.2

1. Cấu hình IP và trỏ default-route.
- Trên Cisco ASA1

Code:

ASA1(config-if)# int e0/0
ASA1(config-if)# nameif outside
ASA1(config-if)# ip address 150.1.1.1 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# int e0/1
ASA1(config-if)# nameif inside
ASA1(config-if)# ip address 192.168.10.1 255.255.255.0
ASA1(config-if)# no shutdown

ASA1(config)# route outside 0 0 150.1.1.2

- Trên Cisco ASA2

Code:

ASA2(config-if)# int e0/0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 150.1.1.2 255.255.255.0
ASA2(config-if)# no shutdown
ASA2(config-if)# int e0/1
ASA2(config-if)# nameif inside
ASA2(config-if)# ip address 10.2.2.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2(config)# route outside 0 0 150.1.1.1

2. Cấu hình IPSEC VPN site to site vpn cisco asa 8.2

2.1. phase 1: Cấu hình các policy trong ISAKMP
- Cấu hình các chính sách cho pha 1

Code:

ASA1(config)# crypto isakmp policy 10 //Tạo policy cho quá trình IKE
ASA1(config-isakmp-policy)# authentication pre-share //kiểu xác thực
ASA1(config-isakmp-policy)# encryption 3des // kiểu mã hóa
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# group 2

2.2 Cấu hình IPSEC site to site vpn cisco asa 8.2
- Bước 1: Tạo policy SVUIT cho quá trình đóng gói dữ liệu. Nó sẽ quy đinh dữ liệu chạy trong đường hầm sẽ được bao bọc bởi cơ chế mã hóa gì

Code:

ASA1(config)# crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac

- Bước 2: Tạo ACL quy định traffic chạy từ đâu đến đâu thì được chạy vào đường hầm

Code:

ASA1(config)# access-list VPN extended permit ip 192.168.10.0 255.255.255.0 10.2.2.0 255.255.255.0

- Bước 3: cấu hình crypto map trên Cisco ASA 8.2

//apply luồng traffic trong ACL ở trên được mã hóa. Traffic trong ACL sẽ được chạy vào hầm.

Code:

ASA1(config)# crypto map OUTSIDE-MAP 10 match address VPN

//Thực hiện thiết lập IPSEC-VPN này với ASA2(150.1.1.2)

Code:

ASA1(config)# crypto map OUTSIDE-MAP 10 set peer 150.1.1.2

// apply policy SVUIT đã khởi tạo ở trên vào IPSEC. Như vậy traffic trong hầm sẽ được mã hóa theo chính sách SVUIT

Code:

ASA1(config)# crypto map OUTSIDE-MAP 10 set transform-set SVUIT

- Bước 4: apply Cypto map và bật ISAKMP vào interface kết nối IPSEC-VPN trên Cisco ASA 8.2

Code:

ASA1(config)# crypto map OUTSIDE-MAP interface outside
ASA1(config)# crypto isakmp enable outside

- Bước 5: cấu hình tunnel-group trên Cisco ASA 8.2
Cho biết loại đường hầm này là gì site-to-site or client-to-site...
Chú ý: tên group chính là IP của bên kia (ASA2)

Code:

ASA1(config)# tunnel-group 150.1.1.2 type ipsec-l2l

Cấu hình thuộc tính của IPSEC như thiết lập key(key này 2 bên phải giống nhau), keep-alive...

Code:

ASA1(config)# tunnel-group 150.1.1.2 ipsec-attributes
ASA1(config-tunnel-ipsec)# pre-shared-key svuit.com

3. Trên Cisco ASA 2
- Các bạn cấu hình tương tự cho ASA2. Nhưng có 1 vài lưu ý và thay đổi nhé

Code:

ASA2(config)# crypto isakmp policy 10
ASA2(config-isakmp-policy)# authentication pre-share
ASA2(config-isakmp-policy)# encryption 3des
ASA2(config-isakmp-policy)# hash md5
ASA2(config-isakmp-policy)# group 2

ASA2(config)# crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac

ASA2(config)# access-list VPN extended permit ip 10.2.2.0 255.255.255.0 192.168.10.0 255.255.255.0

ASA2(config)# crypto map OUTSIDE-MAP 10 match address VPN
ASA2(config)# crypto map OUTSIDE-MAP 10 set peer 150.1.1.1
ASA2(config)# crypto map OUTSIDE-MAP 10 set transform-set SVUIT
ASA2(config)# crypto map OUTSIDE-MAP interface outside
ASA2(config)# crypto isakmp enable outside

ASA2(config)# tunnel-group 150.1.1.1 type ipsec-l2l
ASA2(config)# tunnel-group 150.1.1.1 ipsec-attributes
ASA2(config-tunnel-ipsec)# pre-shared-key svuit.com

4. Kiểm tra kết quả Lab IPSEC VPN site to site vpn cisco asa 8.2
- PC2 ping đến PC1 thành công.

Trên Cisco ASA 2
- Kiểm tra trạng tháu ISAKMP để biết kết nối được thiết lập thành công

ASA2(config-tunnel-ipsec)# sh crypto isakmp

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 150.1.1.1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE

Global IKE Statistics
Active Tunnels: 1
Previous Tunnels: 1
In Octets: 848
In Packets: 6
In Drop Packets: 0
In Notifys: 2
In P2 Exchanges: 0
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 1016
Out Packets: 7
Out Drop Packets: 0
Out Notifys: 4
Out P2 Exchanges: 1
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 0
Initiator Tunnels: 1
Initiator Fails: 0
Responder Fails: 0
System Capacity Fails: 0
Auth Fails: 0
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 0

Global IPSec over TCP Statistics
--------------------------------
Embryonic connections: 0
Active connections: 0
Previous connections: 0
Inbound packets: 0
Inbound dropped packets: 0
Outbound packets: 0
Outbound dropped packets: 0
RST packets: 0
Recevied ACK heart-beat packets: 0
Bad headers: 0
Bad trailers: 0
Timer failures: 0
Checksum errors: 0
Internal errors: 0

- Kiểm tra trạng thái của IPSEC trên Cisco ASA 8.2

ASA2(config-tunnel-ipsec)# sh crypto ipsec sa
interface: outside
Crypto map tag: OUTSIDE-MAP, seq num: 10, local addr: 150.1.1.2

access-list VPN permit ip 10.2.2.0 255.255.255.0 192.168.10.0 255.255.255.0
local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 150.1.1.1

#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 3, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 150.1.1.2, remote crypto endpt.: 150.1.1.1

path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: E1388BBC

inbound esp sas:
spi: 0x1B4D5E81 (458055297)
transform: esp-3des esp-md5-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: OUTSIDE-MAP
*** ESP SA deleted ***
*** Tunnel rekeyed or deleted ***

- Phân tích bằng Wireshake để thấy quá trình trao đổi thông tin trong đường hầm.

Search

Search

VPN [Lab 16.1] IPSEC site to site vpn cisco asa 8.2

root

Leader IT/Architect

IPSEC site to site vpn cisco asa 8.2

I. Mô hình và yêu cầu Lab IPSEC site to site vpn cisco asa 8.2

2. yêu cầu Lab IPSEC site to site vpn cisco asa 8.2

II. Triển khai Lab IPSEC site to site vpn cisco asa 8.2

2. Cấu hình IPSEC VPN site to site vpn cisco asa 8.2

Similar Threads