在ASA上实现 IPSec VPN

IPSEC VPN

大家好，这里是G-LAB IT实验室。虚拟专用网络(VPN)是一种通过互联网连接到本地网络的方法。Libreswan 提供的 IPsec 是创建 VPN 的首选方法。libreswan 是 VPN 的用户空间 IPsec 实现。VPN 通过在中间网络（如互联网）设置一个隧道来启用 LAN 和另一个远程 LAN 之间的通信。为了安全起见，VPN 隧道总是使用认证和加密。对于加密操作，Libreswa

?最近要使用ipsec vpn 还要结合国密 而且在边缘端使用, 好像用这个库比较好~ 还有结合国密的 先弄个简单教程~一、传输模式安装也放这这里讲了~ 一个局域网内1. 背景 有关VPP以及VPP_SSWAN的内容自行百度吧。感觉可能是第二个参考连接给的配置可能有问题，按照第一个连接的配置来。 这里同时也记载一下自己的配置。 (1)  StrongSwan配置、运行及测试&n

在开始前先讲一讲ASA的初始配置， IOS比较简单就不说了。ASA有5505， 5510 5520 5530 等型号，5505比较特殊，它有一个内置小switch。初始ip配置：config terminalinterface vlan 1ip address 192.168.1.1 25

说明：ASA1和ASA2模拟两个分支的边界Firewall，并在该Firewall上启用PAT和默认路由。A和B分别模拟两个内网的主机。ISP模拟ISP，并启用loopback0接口，模拟公网主机。要求：在ASA1和ASA2之间建立Site to Site IPSec VPN，A和B能通过IPSec加密隧道用私网IP互访，但访问公网主机时不加密。配置命令如下：ASA1：ciscoasa>en

在ASA防火墙配置IPSec ***与路由器的差别不是很大，而且原理相同。下面通过一个实验案例，来了解***在防火墙上的配置及在配置方面与路由器的区别

 转http://2294439.blog.51cto.com/2284439/733246  ASA1: ciscoasa(config)# interface ethernet 0/0ciscoasa(config-if)# nameif insideciscoasa(config-if)# ip add 1

 1、启用isakmp    crypto isakmp enable outside  2、配置isakmp策略    crypto isakmp policy 1                      &

实验拓朴图 实验目的：总部ASA5520与分支机构CISCO2911建立起IPSEC VPN，实现10.10.10.0/24与172.16.1.0/24两个子网的互访。即PC1与PC2能够互相PING通。实验环境搭建工具：使用的工具有dynmips工大瑞普CCNP版 、 vmware+ASA镜像。除ASA外，其它设备全由dynmips路由器模拟。包括PC

 一.IPSEC VPN (site to site)第一步：在外部接口启用IKE协商crypto isakmp enable outside   第二步：配置isakmp协商 策略isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share&n

ASA端的配置ciscoasa(config)# int e0/0ciscoasa(config-if)# ip address 10.100.1.1 255.255.255.0ciscoasa(config-if)# no shutciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by d

目的：实现PC1与PC2通讯使用VPN隧道，PC1通过PAT能远程telnet到R2。1.建立连接.pc1int f 0/0ip add 192.168.1.2 255.255.255.0 no shexitno ip routingip default-gateway 192.168.1.1pc2int f 0/0ip add 192.168.2.2 255.255.255.0no s

防止公司机密泄露

在ASA防火墙上实现IPSec VPN实验案例nIPSec VPN故障排查1.show cryptoisakmp sa上一章已经简单讲解了命令“show cryptoisakmp sa”，通过它可以了解管理连接所处的状态（这里只介绍主模式）。MM_NO_STATE：ISAKMP SA建立的初始状态，管理连接建立失败也会处于该状态。MM_SA_SETUP：对等体之间ISAKMP策略协商成功后处于该

配置详细配置见附件

access-list cp permint icmp any any access-group cp in interface outside 先允许ping测试通过还可加入icmp permit any echo insideicmp permit any echo outsideicmp permit any echo-reply insideicmp permit

ASA-1配置: Saved:ASA Version 8.0(2) !hostname ASA-1enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/0 nameif outside security-level 0 ip address 61.67.1.1 255.255.255.0

拓扑图如上。说明：ASA1、2、3模拟分支边界网关，并启用PAT。R1、2、3模拟各内网设备。要求：在ASA1、2、3上配置Site to Site VPN，实现全互联并配置反向路由注入（RRI），R1、2、3可以使用私有IP加密通信，不要求使用loopback IP通信；R1、2、3上有去往各私网的路由（通过RRI）。配置如下：ASA1：ciscoasa>en ciscoas

  左边：access-list 140 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0access-list nonat extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0crypt

一、ipsec VPN故障排查Ipsec vpn在实际工作中应用很广，如何组建ipsec对等体实现VPN通信，还应具备一定的故障排查。1、show cryptoisakmp sa命令通过这个命令可以了解管理连接所处的状态：NM_NO_STATE：ISAKMP SA 建立的初始状态，管理连接建立失败也会处于该状态。NM_SA_SETUP：对等体之间ISAKMP策略协商成功后处于该状态。NM_KEY_