- 啓用isakmp :在終結***隧道的接口上啓用isakmp 。crypto isakmp enable outside
- 創建isakmp策略:創建第一階段的策略,該策略要與***客戶端的第一階段的策略相匹配(客戶端的策略在那看)
crypto isakmp policy 100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
- 建立隧道和組策略:當ASA將網絡和安全策略推送到客戶端的時候,它使用了一個繼承模型,使用這個模型,可以在三個地方配置策略
- 默認組策略
- 分配給用戶的組策略
- 用戶下
- 繼承關係:用戶從分配給用戶的組策略繼承屬性和策略。分配給用戶的組策略從默認組策略那裏繼承屬性和策略
- 定義好策略後,必須將它們與隧道組相綁定。
- 通過這種方式,***的客戶對應了隧道組,隧道組對應策略,那麼客戶也就找到屬性和策略了。
定義一個用戶組策略:
group-policy ez***-gp internal
group-policy ez***-gp attributes
***-tunnel-protocol IPSec
定義一個隧道組:也稱爲連接配置文件,用於將分配的屬性映射給用戶
tunnel-group ez***-tp type remote-access
tunnel-group ez***-tp general-attributes
default-group-policy ez***-gp
tunnel-group ez***-tp ipsec-attributes
pre-shared-key cisco123
- 定義ipsec策略:配置一個ipsec轉換集,默認爲隧道模式
crypto ipsec transform-set trans esp-3des esp-md5-hmac
- 配置用戶認證:本實例送往3A radius做認證
aaa-server 3A protocol radius
aaa-server 3A host 10.1.1.241
key cisco123
測試:
TESt aaa authentication 3A host 10.1.1.241 username user1 password cisco
INFO: Attempting Authentication test to IP address <10.1.1.241> (timeout: 12 seconds)
INFO: Authentication Successful
tunnel-group ez***-tp general-attributes
authentication-server-group 3A
- 分配ip地址:定義好地址池後,將地址池映射到用戶組策略
一種是本地地址池
DHCP服務器
Radius 服務器
ip local pool ez***-pool 111.1.1.111-111.1.1.222
tunnel-group ez***-tp general-attributes
address-pool ez***-pool
- 創建加密映射集:software client 肯定是動態的公網ip地址。所以在ez***的server上要創建動態的map
- 將轉換集分配到動態map 上:crypto dynamic-map ez***-dymap 65535 set transform-set trans
- 注:可以配置動態map的多個屬性,比如NAT-T的關閉,PFS,RRI等。
- 比如crypto dynamic-map ez***-dymap 65535 set pfs (option)
- 靜態map調用動態map:crypto map outside-map 65535 ipsec-isakmp dynamic ez***-dymap
- 將靜態map 調用到外部接口:crypto map outside-map interface Outside
- 因爲客戶端是pat後過來的,有nat穿越問題存在,而默認ASA是關閉的,路由器是開啓的
開啓NAT-T crypto isakmp nat-traversal
- ASA模擬公司環境,可以上網,那麼client撥進來後使用的源地址爲111,目的地址爲10。返回得流量需要做nat 旁路,因爲流量是先做nat,後到outside接口
正常上網的NAT:
nat (Inside) 1 10.1.1.0 255.255.255.0
ASA(config)# sh run gl
ASA(config)# sh run global
global (Outside) 1 interface
access-list nonat extended permit ip 10.1.1.0 255.255.255.0 111.1.1.0 255.255.255.0
nat (Inside) 0 access-list nonat
- 客戶端測試
- 使用3A認證用戶名和密碼
- 成功連接上
- 查看sa
ASA(config-group-policy)# sh crypto ipsec sa
interface: Outside
Crypto map tag: ez***-dymap, seq num: 65535, local addr: 202.100.1.10
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (111.1.1.111/255.255.255.255/0/0)
current_peer: 202.100.1.1, username: user1
dynamic allocated peer ip: 111.1.1.111
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 30, #pkts decrypt: 30, #pkts verify: 30
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 202.100.1.10/4500, remote crypto endpt.: 202.100.1.1/1279
path mtu 1500, ipsec overhead 66, media mtu 1500
current outbound spi: 55257B98
inbound esp sas:
spi: 0xC0A4F656 (3232036438)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 20480, crypto-map: ez***-dymap
sa timing: remaining key lifetime (sec): 28601
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x55257B98 (1428519832)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 20480, crypto-map: ez***-dymap
sa timing: remaining key lifetime (sec): 28601
IV size: 8 bytes
replay detection support: Y
- option(關於隧道分割)
大體有兩種需求
默認***的 client 是加密所有去往目的流量。意味着如果此時上網的流量也會被加密送往ASA.
C:\>route print
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 111.0.0.1 111.1.1.111 1
第一種方案是隧道分割,ASA會告訴客戶端安全的子網是要加密的,此外去往其它目的不需要加密
access-list split-tunnel extended permit ip 10.1.1.0 255.255.255.0 any
group-policy ez***-gp attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel
C:\>route print
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.10 192.168.1.100 10
10.1.1.0 255.255.255.0 111.0.0.1 111.1.1.111 1
111.0.0.0 255.0.0.0 111.1.1.111 111.1.1.111 10
還有一種需求是要求客戶端所有的流量都送往ASA,即使是上公網也要從ASA走。
問題分析:
- ASA,相同安全級別的一個接口:即same-security :same-security-traffic permit intra-interface
- 還有個問題是outside接口進來,又從outside接口出去
nat (Outside) 1 111.1.1.0 255.255.255.0
global (Outside) 1 interface 這個在之前已經調用了
- option(關於sysopt)
System option 即sysopt connection permit-***
默認情況下,安全設備允許所有IPSEC流量穿越接口ACL,即使在outside接口上並不允許放行加密流量
如果改變成no sysopt connection permit-***
就需要ACL放行***流量
access-list outside-in extended permit ip 111.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0
access-group outside-in in interface Outside
此時問題會很多,比如我們沒做隧道分割,而使用的nat globa的解決方案。此時上網流量就受到影響
列表這樣寫就可以解決問題:
access-list outside-in extended permit ip 111.1.1.0 255.255.255.0 any
ASA(config-pmap-c)# sh xlate
1 in use, 2 most used
PAT Global 202.100.1.10(1026) Local 111.1.1.111(1337)
ASA(config-pmap-c)# sh conn
2 in use, 9 most used
TCP out 202.100.1.10(111.1.1.111):1337 in 202.100.1.1:23 idle 0:00:08 bytes 61 flags UIOB
如果不禁用sysopt,但是仍然希望過濾***流量:
可以在組策略裏面調用一個ACL,達到流量過濾:即只允許***地址池到內部流量通過
access-list traffic-filter extended permit ip 111.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0
group-policy ez***-gp attributes
***-filter value traffic-filter
此時如果不使用隧道分割,到達公網就會產生影響。
- Option (save password)
group-policy ez***-gp attributes
password-storage enable
