博主QQ:819594300
博客地址:http://zpf666.blog.51cto.com/
有什麼疑問的朋友可以聯繫博主,博主會幫你們解答,謝謝支持!
本文章介紹三個部分內容:
①ipsec ***故障排查
②如何在ASA防火牆上配置ipsec ***
③防火牆與路由器配置ipsec ***的區別
說明:在ASA防火牆配置ipsec ***與路由器的差別不是很大,而且原理相同,就是個別命令不一樣。
一、ipsec ***故障排查
1、show crypto isakmp sa命令
通過這個命令可以瞭解管理連接所處的狀態:
2、debug crypto isakmp命令
通過這個命令如果想更加詳細的知道連接的整個過程:
該命令在實際工作中最常用於診斷和排查管理連接出現問題的命令。
①故障實例(一)
將路由器的加密算法有des改爲3des,這時對等體階段1的加密算法顯然不匹配,通過debug crypto isamkp命令可以很清楚的看到這點。
說明:路由器依然會逐條對比傳輸集,之後發現encryption algorithm offered does not match policy!(加密算法不匹配),所以atts are not acceptable(策略不被接受)。然後路由器會與本地的默認策略進行對比,如果依然沒有匹配策略,就會得出結論no iffers accepted(沒有匹配策略),最後路由器回到NM_NO_STATE狀態。
②故障實例(二)
路由器兩端設置的預共享祕鑰key不同,這時階段1的傳輸集是匹配的,但後續的驗證過程無法通過,這一點也可以通過debug crypto isakmp命令看到。
說明:第一部分說明匹配的傳輸集已經找到(atts are acceptable),開始後續的祕鑰交換以及身份驗證的過程,但第二部分中“IKE message from 10.0.0.1 failed its sanity check or is malformed”說明進行身份驗證的信息沒有通過完整性檢測或缺失部分信息,即驗證失敗。最後路由器就會停在NM_KEY_EXCH狀態,這點可以通過show crypto isakmp sa命令查看。
二、在cisci asa防火牆上配置實現ipsec ***
1、實驗拓撲
2、實驗目標:
1)分支公司的開發項目小組可以通過***訪問總公司研發服務器,但不能訪問Internet。
2)分公司的其他客戶端(dmz)可以訪問Internet。
3、注意事項
1)asa防火牆網卡模塊修改爲pcnet,對防火牆右鍵---選擇“配置”。
2)開啓asa之後彈出的界面不要關閉
4、實驗步驟
1)配置所有設備的ip地址和路由
配置R4:
配置R1:
配置ASA1:
配置R2:
配置ASA2:
配置R3:
2)配置ASA1防火牆***
①配置NAT並啓動nat-control
②配置NAT豁免(即帶ACL的nat 0)
access-list nonat extended permit ip 192.168.1.0
255.255.255.0 172.16.10.0 255.255.255.0
(截圖看不清楚的我又寫了一遍)
說明:0代表該條目不用被NAT轉換,亦稱爲“豁免”。這裏需要反過來想問題,之前配置路由器的時候都是匹配ACL的享有NAT的服務,這裏正好相反,匹配ACL的可以“豁免”NAT的服務。但有個問題需要注意,很多人會說NAT豁免根本沒有意義,用ACL的deny就可以實現NAT豁免。
③建立ISAKMP策略:
④配置預共享密鑰
⑤配置crypto ACL
access-list yf*** extended permit ip 192.168.1.0
255.255.255.0 172.16.10.0255.255.255.0
(截圖看不清楚的我又寫了一遍)
⑥配置交換數據連接的傳輸集
⑦配置crypto map
⑧將crypto map應用到outside接口上使其生效。
3)配置ASA2的***(配置過程和ASA一樣,就是對等體的IP地址不一樣,另外ASA2不用做NAT)
5、測試
1)在R1上pingR3,可以ping通(因爲有***)
2)在R2上開啓telnet(因爲防火牆默認拒絕一切ping)
3)在R1上telnet R2,提示不能訪問(說明R1不能訪問internet)
4)在R4上telnet R2(可以訪問,因爲R1做了動態PAT或靜態NAT)
實驗完成說明:到此爲止實現了,開發項目小組可以通過***訪問總公司研發服務器,但不能訪問Internet。
分公司的其他客戶端可以訪問Internet。
三、防火牆和路由器的區別
說明:防火牆由於自身IOS原因,在配置命令方面與路由器有一定區別,但並不非常明顯。這裏重點介紹兩個方面:
1、默認配置的區別
在建立管理連接的過程中,cisco asa防火牆和路由器默認情況下使用的參數不同。
Cisco asa防火牆使用的參數如下:
在ASA上查看參數:
在路由器上使用show crypto isakmp policy:
防火牆不支持命令show crypto isakmp policy,要想查看管理連接的默認參數,需要在初始配置下啓用ISAKMP策略,然後通過命令show run進程觀察。與路由器相比,默認的加密變爲3DES,默認的DH組使用2,默認的設備驗證方法變爲預共享密鑰,而默認的HASH算法以及生存週期沒有變化。
ASA防火牆採用了更爲安全的默認設置,這是cisco公司設備技術個新的一種表現。需要注意的是,如果ipsec對等體雙方是ASA防火牆和cisco路由器,那麼使用默認的ISAKMP策略是無法建立連接的。
2、IKE協商默認是否開啓
默認情況下,IKE協商在路由器是開啓的,而在ASA防火牆是關閉的。因此,在ASA防火牆中必須使用命令crypto isakmp enable outside
開啓IKE協商。
3、隧道組特性的引入
嚴格意義上說,這並不能算是防火牆和路由器的配置差異,而是防火牆6.x版本升級到7.0版本引入的新特性,它主要用於簡化ipsec會話的配置和管理。而且路由器配置共享密鑰key的命令(crypto isakmp key key-string addresspeer-address),ASA防火牆依然支持。
4、接口安全級別對於ipsec流量的影響。
防火牆存在一種限制,如果流量從一個接口進入,就不能從相同安全級別的端口流出。即流量不能在統一安全級別的端口之間傳輸,這主要是從安全方面考慮而設定的一種特性,但可能對ipsec流量造成一定的影響。
假如ASA防火牆處於網絡的中心節點(如公司總部),爲了實現對分公司網絡流量的統一管理,要求分公司之間的訪問流量必須通過總公司。這就會出現上述情況,造成分公司之間無法通信。這時就需要使用如下命令來實現。
上面命令最後兩個參數的區別:
Intra-interface參數允許流量進入和離開同一個接口,多用於L2L會話中的中心設備;
inter-interface參數允許流量進入和離開具有相同安全級別的兩個不同的接口,多用於遠程訪問***會話中的Easy ***網關。