精选文章 思科ASA防火墙和思科CSR路由之间组网建立IPSec

思科ASA防火墙和思科CSR路由之间组网建立IPSec

作者:新盟教育-雪莹 时间: 2020-08-05 02:39:40
新盟教育-雪莹 2020-08-05 02:39:40

今天我们来做IKEv2的IPSec 实验,其实当下,IKEv1和IKEv2都应用非常广泛。我们可以理解IKEv2是思科公司开发的所有厂家都支持的一种基于IKEv1的增强版。

为什么开发这款呢?不是已经有了IKEv1了吗?
1.IKEv1针对某些应用来说很难实现,比如远程接入的VPN,为此思科还开发了EZVPN专门作为Remote 接入,但是EZ毕竟思科私有,其他厂家不支持。
2.IKEv1针对某些环境来说配置起来需要考虑问题,比如穿越NAT的时候,必须考虑封装协议。
3.IKEv1数据包负责,阶段一协商IKEv1 的安全参数的时候有认证过程,阶段二协商IPSEC的安全参数的时候又需要进行认证,使得协商阶段比较复杂。
4.IKEv1如果出现错误的时候,会发信息通告给对方,但是呢,他是基于UDP的,不靠谱,可能就导致丢包,IKEv2引入了确认机制,解决了这个问题。

 

IKEv2工作原理有两部分:阶段一的INIT和阶段二的AUTH。

下面我通过实验演示一下,IKEv2的IPSec VPN的配置。

 

【结合视频观看   效果更佳哟】

思科ASA防火墙和思科CSR路由之间组网建立IPSec1

 

 

第一步:基础路由配置、测试外网口连通性

Branch(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.2
ASA(config)#route Outside 0.0.0.0 0.0.0.0 103.231.100.2
Branch#ping 103.231.100.1
!!!!!
ASA# ping 202.100.1.1
!!!!!

第二步:CSR路由器端阶段一安全参数配置(可选,系统有默认的参数)

Branch(config)#crypto ikev2 proposal IKEv2-Proposal   ||创建IKEv2提议(同IKEv1的阶段一)
Branch(config-ikev2-proposal)#encryption 3des aes-cbc-256 ||可以配置多个参数,和对端匹配一个皆可
Branch(config-ikev2-proposal)#integrity sha256 sha512
Branch(config-ikev2-proposal)#group 2 5 14
Branch(config-ikev2-proposal)#end
Branch(config)#crypto ikev2 policy IKEv2-Policy  ||创建策略,关联提议
Branch(config-ikev2-policy)#proposal IKEv2-Proposal
Branch(config-ikev2-policy)#exit
Branch#show crypto ikev2 proposal   ||查看配置的提议和系统默认的提议
Branch#show crypto ikev2 policy  ||查看配置的策略和系统默认的额策略

第三步:CSR端配置预共享密钥

Branch(config)#crypto ikev2 keyring PSK
Branch(config-ikev2-keyring)#peer Center-ASA   ||定义一个名字
Branch(config-ikev2-keyring-peer)#address 103.231.100.1
Branch(config-ikev2-keyring-peer)#pre-shared-key CISCO  ||预共享密钥
Branch(config-ikev2-keyring-peer)#exit

Branch(config)#crypto ikev2 profile IKEv2-Profile
Branch(config-ikev2-profile)#match identity remote address 103.231.100.1 
Branch(config-ikev2-profile)#identity local address 202.100.1.1
Branch(config-ikev2-profile)#authentication remote pre-share ||认证远端的时候用PSK
Branch(config-ikev2-profile)#authentication local pre-share  ||远端认证我的时候也用PSK
Branch(config-ikev2-profile)#keyring local PSK
Branch(config-ikev2-profile)#exit

第四步:CSR端配置转换集(有系统默认)和感兴趣流,用于实际数据加密

Branch(config)#crypto ipsec transform-set Trans1 esp-des esp-md5-hmac 
Branch(cfg-crypto-trans)#mode tunnel 
Branch(cfg-crypto-trans)#exit
Branch(config)#crypto ipsec transform-set Trans2 esp-3des esp-sha256-hmac 
Branch(cfg-crypto-trans)#mode tunnel 
Branch(cfg-crypto-trans)#exit

Branch(config)#ip access-list extended VPN-Traffic   
Branch(config-ext-nacl)#permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Branch#show crypto ipsec transform-set  ||查看配置和系统自带的转换集

第四步:CSR端把阶段一和阶段二安全参数做关联,并且在出接口调用

Branch(config)#crypto map Crypto-Map 10 ipsec-isakmp 
Branch(config-crypto-map)#set peer 103.231.100.1
Branch(config-crypto-map)#set transform-set Trans1 Trans2 
Branch(config-crypto-map)#set ikev2-profile IKEv2-Profile
Branch(config-crypto-map)#match address VPN-Traffic
Branch(config-crypto-map)#exit
Branch(config)#int e0/0
Branch(config-if)#crypto map Crypto-Map
Branch(config-if)#exit

第五步:ASA端阶段一安全参数配置(可选,系统有默认的参数)

ASA(config)# crypto ikev2 enable Outside
ASA(config)# crypto ikev2 policy 10
ASA(config-ikev2-policy)# encryption aes-256 des
ASA(config-ikev2-policy)# integrity sha256 sha 
ASA(config-ikev2-policy)# group 2 1
ASA(config-ikev2-policy)# prf sha256 sha 
ASA(config-ikev2-policy)# lifetime seconds 86400
ASA(config-ikev2-policy)# end

ASA# show run crypto ikev2  ||查看配置好系统自带的安全参数

第六步:ASA端配置预共享密钥

ASA(config)# tunnel-group 202.100.1.1 type ipsec-l2l 
ASA(config)# tunnel-group 202.100.1.1 ipsec-attributes 
ASA(config-tunnel-ipsec)# ikev2 remote-authentication pre-shared-key CISCO
ASA(config-tunnel-ipsec)# ikev2 local-authentication pre-shared-key CISCO

第七步:ASA端配置转换集(有系统默认)和感兴趣流,用于实际数据加密

ASA(config)# crypto ipsec ikev2 ipsec-proposal Trans
ASA(config-ipsec-proposal)# protocol esp encryption aes-192 des 
ASA(config-ipsec-proposal)# protocol esp integrity sha-1 md5
ASA(config)#access-list VPN-Traffic extended permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0

第八步:ASA端把阶段一和阶段二安全参数做关联,并且在出接口调用

ASA(config)# crypto map Crypto-Map 10 match address VPN-Traffic
ASA(config)# crypto map Crypto-Map 10 set peer 202.100.1.1
ASA(config)# crypto map Crypto-Map 10 set ikev2 ipsec-proposal Trans
ASA(config)# crypto map Crypto-Map interface Outside

第九步:测试流量好常用的查看命令

PC#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 2/9/30 ms
Branch#show crypto session 
Crypto session current status
Interface: Ethernet0/0
Profile: IKEv2-Profile
Session status: UP-ACTIVE     
Peer: 103.231.100.1 port 500 
  Session ID: 1  
  IKEv2 SA: local 202.100.1.1/500 remote 103.231.100.1/500 Active 
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 172.16.1.0/255.255.255.0 
        Active SAs: 2, origin: crypto map
Branch#show crypto session   ||查看IPSec会话
Branch#show crypto ikev2 sa   ||查看协商好的阶段一IKEv2的安全参数
Branch#show crypto ipsec sa   ||查看协商好的阶段二IPSec的安全参数
Center-ASA# show crypto ipsec sa
Center-ASA# show crypto ipsec stats

 扫码加小助教获取学习资料哦

思科ASA防火墙和思科CSR路由之间组网建立IPSec2

 

勿删,copyright占位
分享文章到微博
分享文章到朋友圈

上一篇:css clip剪裁元素.html

下一篇:删库一定要跑路吗?手把手教你MySQL数据恢复

您可能感兴趣

  • 路由器和交换机产品简介

    (一)路由器 思科公司的产品被网络用户广泛的使用,对它们的典型产品及其特性的了解可对网络设备有一定大致的认识,以下主要对Cisco1800系列、Cisco2600系列、Cisco 2800系列、Cisco 3700 系列模块化和固定配置的路由器产品进行简单介绍。 首先以"S26C-12007XK ","CD26-BHP-12.0.7= "这两个产品型号为例介绍一下Cisco 产品型号名的字母...

  • TCP/IP基础文章(安全篇)

    TCP/IP基础文章(安全篇) 来源:wuhanman转贴 TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私用网络,在传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。 一、Internet层的安全性 对Internet层的安全协议进行标准化的想法早就有了。在过去十年里,已经提出了一些方案。例如,"安全协议3号(SP3)"就是美国国家...

华为云40多款云服务产品0元试用活动

免费套餐,马上领取!
CSDN

CSDN

中国开发者社区CSDN (Chinese Software Developer Network) 创立于1999年,致力为中国开发者提供知识传播、在线学习、职业发展等全生命周期服务。