ボーエン概要:
- まず、ネットワーク環境のニーズ
- 第二に、準備が事前に設定
- 第三に、仮想プライベートネットワークを設定します
- IVの概要
はじめに:
ブログ投稿の前に書かれた:CiscoルータのIPSecの仮想プライベートネットワーク、それが会社のゲートウェイで使用されているCisco ASAが行うファイアウォール場合は、仮想プライベートネットワーク、そして企業のゲートウェイを構築するためにCiscoルータの場合ですか?このブログは、あなたがそれを設定持参しましょう。
私はボーエンは、ほとんどの記事をリンク読ん事の初めに導入された知識や概念について、ファイアウォールやルータ上の仮想プライベートネットワークは、原理は同じですので、直接設定で、長ったらしいありません。
ネットワーク環境を次のように
まず、ネットワーク環境のニーズ
1、ASAの本社と各支店、本店でIPSec仮想プライベートネットワークゲートウェイを確立し、ネットワークセグメントのブランチエクスチェンジ(為替の唯一の特定のセクターのための通常の必要性)を実装する必要があります。
二つのブランチが(もちろん、実際に基づき、本社ゲートウェイASAの領域外ASA社E0 / 1でファイアウォールをバイパスすることができ、相互運用性を実現するために、仮想プライベートネットワークを構成するために、および相互運用性を実現する必要があるとの間で2、それは)修正する必要があります。
本店と支店だけではなく、3間の仮想プライベートネットワークの必要性、およびインターネット上で、同社の内部ホストに影響を与えません(ポートPATによって実装、構成は、完全に検証するために、ルータR2をログに記録するTelnetのです)。
図4に示すように、内部ルータがIPアドレス構成のインターネットルータR2に加えて、テストの代わりにPCを使用して、コンフィギュレーションは、任意のルートエントリはありません。
第二に、準備が事前に設定
(本番環境で直接設定、およびなどの基本的なインターフェイスIPルーティングを設定する場合は、設定する前に無視することができます)
1は、私がここで使用されるファイアウォールが使用されている(彼らは民間の手紙Iを助ける必要がある場合は、GNS3のデフォルトのファイアウォールなしで、独自の負荷のニーズを)、インタフェースの種類は次のように、それを変更する必要があり、独自のネットワークトポロジを構築し、GNS3シミュレータです。
2、のようにIPアドレスとルーティングのエントリを、自己設定します。
'路由器配置接口IP及路由条目(R2除外,都需要配置默认路由,相当于它的网关)'
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#in f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
'防火墙ASA配置接口IP及路由条目:'
ciscoasa> en
Password: #默认没有密码,直接回车即可
ciscoasa# conf t
ciscoasa(config)# in e0/0
ciscoasa(config-if)# nameif inside #需要先定义区域
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# in e0/1
ciscoasa(config-if)# nameif ouside
INFO: Security level for "ouside" set to 0 by default.
ciscoasa(config-if)# ip add 201.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route ouside 0 0 201.0.0.2 #配置默认路由,下一跳指向互联网的R2路由器。第三に、仮想プライベートネットワークを設定します
あなたはインタフェースとIPルーティング情報を設定したら、次のような構成の仮想プライベートネットワークに従うことができます。
1間の1、本社と支店の設定仮想プライベートネットワーク:
次のように(1)社、ASA-1が構成されています。
ASA-1(config)# crypto isakmp enable outside #启用ISAKMP/IKE
#'以下是配置ISAKMP策略(也就是管理连接的配置)'
ASA-1(config)# crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高
ASA-1(config-isakmp-policy)# authentication pre-share #声明设备认证方式为“预先共享密钥”
ASA-1(config-isakmp-policy)# encryption aes #配置加密算法
ASA-1(config-isakmp-policy)# hash md5 #hash命令指定验证过程中采用的散列算法
ASA-1(config-isakmp-policy)# group 2 #采用DH算法的强度为group2
ASA-1(config-isakmp-policy)# lifetime 10000 #可选,管理连接生存周期,默认为86400s(24小时)
ASA-1(config-isakmp-policy)# crypto isakmp key 2019.com address 202.0.0.1 #配置“预先共享密钥”
ASA-1(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 #定义虚拟专用网保护的流量
ASA-1(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac #数据连接协商参数,“test-set”是自定义的名称
ASA-1(config)# crypto map test-map 1 match address lan1_lan2 #匹配的ACL
ASA-1(config)# crypto map test-map 1 set peer 202.0.0.1 #虚拟专用网对端地址
ASA-1(config)# crypto map test-map 1 set transform-set test-set #将数据连接关联刚才创建的传输集
ASA-1(config)# crypto map test-map interface outside #将crypto map 应用到outside接口上。次のように(2)ASA-2ブランチ1が配置されています。
ASA-2(config)# crypto isakmp enable outside
ASA-2(config)# crypto isakmp policy 1
ASA-2(config-isakmp-policy)# authentication pre-share
ASA-2(config-isakmp-policy)# encryption aes
ASA-2(config-isakmp-policy)# hash md5
ASA-2(config-isakmp-policy)# group 2
ASA-2(config-isakmp-policy)# lifetime 10000
ASA-2(config-isakmp-policy)# crypto isakmp key 2019.com address 201.0.0.1
ASA-2(config)# acce
ASA-2(config)# access-li
ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.1$
ASA-2(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-2(config)# crypto map test-map 1 match address lan2_lan1
ASA-2(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-2(config)# crypto map test-map 1 set transform-set test-set
ASA-2(config)# crypto map test-map interface outside完全の設立に関するこれまでのところ、本社と支店のVPN 1、あなたはR3とR1 pingテストを使用することができ、仮想プライベートネットワーク接続が前に、正しい構成ルーティングおよびインターフェースIPの場合には、pingを2〜3回を確立するために時間がかかります何の3または5倍にpingを実行しないように場合のpingは、pingが、ほとんどが冷たい、それを自己トラブルシューティングを行うことができ、どこが間違っバーを設定するには、show runコマンドを見抜きます!
2、3の間に本店や支店構成の仮想プライベートネットワーク:
次のようコーポレーション、ASA-1が設定されている(1)(管理接続は、本社や構成に共通の枝の上に配置することができる設定はACLのコマンドは、コンフィギュレーションをクリックし、IPアドレスを変更し、必要として、それは長いと言うことができます) :
ASA-1(config)# crypto isakmp key 2020.com address 203.0.0.1
ASA-1(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA-1(config)# crypto map test-map 2 match address lan1_lan3
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set peer 203.0.0.1
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set transform-set test-set次のように(2)ASA-3ブランチ2が配置されています。
ASA-3(config)# crypto isakmp enable outside
ASA-3(config)# crypto isakmp policy 1
ASA-3(config-isakmp-policy)# authentication pre-share
ASA-3(config-isakmp-policy)# encryption aes
ASA-3(config-isakmp-policy)# hash md5
ASA-3(config-isakmp-policy)# group 2
ASA-3(config-isakmp-policy)# lifetime 10000
ASA-3(config-isakmp-policy)# crypto isakmp key 2020.com address 201.0.0.1
ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-3(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-3(config)# crypto map test-map 1 match address lan3_lan1
ASA-3(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-3(config)# crypto map test-map 1 set transform-set test-set
ASA-3(config)# crypto map test-map interface outsideこのように構成された、ブランチR4上のルータ2は、ルータR1株式会社に対してpingを実行することができます。
2つの支店と3個の仮想プライベートネットワーク(実際には、あなたはいくつかのACLを設定することができます)を装備した3: