ボーエンディレクトリ
A、IPSecの仮想プライベートネットワークのトラブルシューティング
第二には、IPSecの仮想プライベートネットワークに実装し、ファイアウォールやルータの設定
III概要
:IPSecの仮想プライベートネットワーク動作原理と概念について、以前のブログ記事を書いたのCiscoルータのIPSec仮想プライベートネットワークの原則と詳細な構成を仮想Ciscoルータを構築するために、会社ダウンの場合に使用されるゲートウェイの前で、詳細にブログを持っていますプライベートネットワークは、本日、ASAファイアウォールでIPSec VPNを構成するために達成しました。
「仮想プライベートネットワーク」(あなたはそれが何であるかを知って、最初の文字を参照)として、単語の敏感\感があるので、代わりにブログの記事でその中国名「仮想プライベートネットワーク」を使用します。
、IPSecの仮想プライベートネットワークのトラブルシューティング
加えて、作業は非常に広範なアプリケーションでのIPSec仮想プライベートネットワークは、IPSecピア仮想プライベートネットワーク通信を構築する方法を習得するだけでなく、いくつかのトラブルシューティング機能を持っています。
1、 "ショーの暗号のisakmp saは" 命令
ボーエンのハイパーリンクは、上記の接続管理は、(ここでは紹介のみメインモード)した状態を学ぶために、「ショーの暗号のisakmpのsa」コマンドで、言及しました。
MM_NO-STATE:初期状態はISAKMP SAを確立し、接続がこの状態で失敗し管理します。
MM_SA_SETUP:ピアのISAKMPポリシーネゴシエーションの間には、状態に成功しています。
MM_KEY_EXCH:ピアDHアルゴリズムが正常にデバイス認証のためではない、この時間を共有鍵を確立します。
MM_KEY_AUTH:ピアデバイスが正常に検証され、それは状態をQM_IDLEに移行します。
- QM_IDLE:管理接続が正常に確立され、今後の推移は2つの、データ接続確立プロセスをフェーズに。
2、 "デバッグ暗号ISAKMP" 命令
あなたは、より詳細に全体のプロセスを理解したい場合は、最も一般的に使用されるコマンドは、接続の問題をトラブルシューティングするために診断と管理で働いている「デバッグ暗号ISAKMP」コマンドを使用することができます。
DES暗号化アルゴリズムのルータが3DESを変更された、ピアのフェーズ1の暗号化アルゴリズムの間のこの時間は、明らかに一致していない、あなたは明らかに、「デバッグ暗号のisakmp」コマンドを介してこれを見ることができます。下図のように:
ルータはまだ、「政策と一致していない提供暗号化algorthm!」(暗号化アルゴリズムが一致しない)発見後、1によってポリシーを1つずつ対比されますので、(ポリシーは受け付けません)「ATTSは受け入れられません」。ルータは、ポリシーが一致し、まだでない場合、それはという結論になる、ローカルのデフォルトのポリシーと比較される「無申し出は受け入れられません!」(ノー政策の一致)、最後のルータは「MM_NO_STATE」状態に戻ります。
第二に、IPSecの仮想プライベートネットワークを実装し、ファイアウォールやルータを設定
1、ネットワーク環境は、次のように:
2、環境分析:
ネットワークアドレス、サブネットアドレス192.168.20.0/24ブランチ使用を使用して1)、(株)内で192.168.10.0/24ネットワーク。公共のインターネットルーターとしてISPルータ。本社と支店のゲートウェイサーバー用のR1とASA-1は、そのパブリックネットワークへのルータにデフォルトルートがあるだろうしてください。
2)、(株)のネットワークおよびブランチオフィス内の内部ネットワークは、仮想プライベートネットワークを確立する間に、しかし、あなたが何かを設定しない場合は、インターネットにアクセスするためのネットワークに影響を与えるだろう、彼らは一般的にも、仮想プライベートネットワークを確立するのどちらかでありますあなたは、インターネットにアクセスすることができますので、この問題は解決されなければなりません。
3.次のような要件は以下のとおりです。
192.168.20.0/24ネットワーク192.168.10.0/24本社とブランチオフィスは、仮想プライベートネットワークを介して相互に通信セグメント、及びこれら二つのセグメントの影響を達成するのに必要な1は、ISPルータである公衆ネットワーク(公衆ネットワークアクセス制御にアクセスしませんPATポートにより、複雑な技術の実装は)ISPルータ上の任意のルートを設定しないでください。
4、設定を開始します。
基本的なネットワークパラメータを設定します
1)ASA配置如下:
ASA(config)# int eth0/0 #进入接口
ASA(config-if)# nameif outside #接口配置为outside
ASA(config-if)# ip add 192.168.100.1 255.255.255.0 #接口配置IP地址
ASA(config-if)# no shu #启用接口
ASA(config-if)# exit
ASA(config)# int eth0/1 #进入接口
ASA(config-if)# nameif inside #接口配置为inside
ASA(config-if)# ip add 192.168.10.254 255.255.255.0 #接口配置IP地址
ASA(config-if)# no shu #启用接口
ASA(config-if)# exit
ASA(config)# route outside 0 0 192.168.100.254 #配置去往公网的IP地址
ASA(config)# access-list out_to_in permit ip any any #创建ACL允许所有流量通过outside接口进入inside
ASA(config)# access-group out_to_in in interface outside #ACL应用到outside接口
2)ISP配置如下:
ISP(config)#int f0/0 #(相关注释请参考上面)
ISP(config-if)#ip add 192.168.100.254 255.255.255.0
ISP(config-if)#no shu
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int f1/0
ISP(config-if)#ip add 192.168.200.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#int loopback 0 #创建loop back 0接口(模拟Internet网)
ISP(config-if)#ip add 100.100.100.100 255.255.255.255 #配置IP地址
ISP(config-if)#no shutdown #启用接口
ISP(config-if)#exit
3)R1配置如下:
R1(config)#int f1/0
R1(config-if)#ip add 192.168.200.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.254 #配置去往公网的路由
4)PC1配置如下:
PC1(config)#no ip routing #关闭路由功能
PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.10.1 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.254 #配置网关
PC1(config)#exit
5)PC2配置如下:
PC2(config)#no ip routing
PC2(config)#int f0/0
PC2(config-if)#ip add 192.168.20.1 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.20.254
PC2(config)#exit設定のIPSec仮想プライベートネットワーク
次のようにR1が設定さ:
R1(config)#crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高
R1(config-isakmp)#encryption aes #配置加密算法
R1(config-isakmp)#hash sha #hash命令指定验证过程中采用的散列算法
R1(config-isakmp)#authentication pre-share #配置共享密钥的方式为“预先共享密钥”
R1(config-isakmp)#lifetime 86400 #配置保持时间,默认保持时间为24小时
R1(config-isakmp)#group 2 #配置加密共享密钥方式使用dh算法
R1(config-isakmp)#exit
R1(config)# access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255#创建ACL抓取需要走虚拟专用网的流量
R1(config)#crypto ipsec transform-set sh-set esp-aes esp-sha-hmac #配置传输集指定加密和验证算法
R1(cfg-crypto-trans)#exit
R1(config)#crypto isakmp key 0 pwd@123 address 192.168.100.1 #创建共享密钥和对等体IP地址建立IPSec 虚拟专用网连接
R1(config)#crypto map sh-虚拟专用网简写 1 ipsec-isakmp #创建crypto map调用,名字为bj-虚拟专用网简写
R1(config-crypto-map)#match address 100 #调用ACL抓取本地走虚拟专用网的流量
R1(config-crypto-map)#set peer 192.168.100.1 #调用对等体的IP地址
R1(config-crypto-map)#set transform-set sh-set #调用本地创建的传输集
R1(config-crypto-map)#exit
R1(config)#interface fastEthernet 1/0 #进入到外网接口,也就是0/0接口
R1(config-if)#crypto map sh-虚拟专用网简写 #应用创建的mapASAファイアウォールの設定は次のとおりです。
ASA(config)# crypto isakmp policy 1 #策略序列号为“1”,范围是1~10000,数值越小,优先级越高
ASA(config-isakmp-policy)# encryption aes #配置加密算法
ASA(config-isakmp-policy)# hash sha #hash命令指定验证过程中采用的散列算法
ASA(config-isakmp-policy)# authentication pre-share #配置共享密钥的方式为“预先共享密钥”
ASA(config-isakmp-policy)# lifetime 86400 #配置保持时间,默认保持时间为24小时
ASA(config-isakmp-policy)# group 2 #配置加密共享密钥方式使用dh算法
ASA(config-isakmp-policy)# exit
ASA(config)# access-list 100 permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 #创建ACL抓取需要走虚拟专用网的流量 (防火墙掩码是正掩码,路由器是反掩码)
ASA(config)# crypto ipsec transform-set bj-set esp-aes esp-sha-hmac #配置传输集指定加密和验证算法
ASA(config)# crypto isakmp key pwd@123 address 192.168.200.1 #创建共享密钥和对等体IP地址建立IPSec 虚拟专用网连接
ASA(config)# crypto map bj-虚拟专用网简写 1 match address 100 #调用ACL识别要走虚拟专用网的流量
ASA(config)# crypto map bj-虚拟专用网简写 1 set peer 192.168.200.1 #调用对等体IP地址
ASA(config)# crypto map bj-虚拟专用网简写 1 set transform-set bj-set #调用本地创建的传输集
ASA(config)# crypto isakmp enable outside #开启IKE协商
ASA(config)# crypto map bj-虚拟专用网简写 interface outside #应用crypto map到外网接口5. IPSecの仮想プライベートネットワークを確認してください
ビューのIPSec仮想プライベートネットワーク管理接続が確立されます
IPSecの仮想プライベートネットワークは、構成、PC1とPC2のクライアントが今、相互に通信することができます完了し、PCがインターネットネットワーク(ISPルータにすなわちループback0インターフェイス)にアクセスできる2つのNAT設定を実装するために始めました。
インターネットのネットワークにアクセスするクライアントを達成するための6、NATの設定
現在、2台のPCのマシンがバック0インターフェイスをISPルータのループにpingを実行されていません。図は次のとおりです。
ASAファイアウォールの設定は次のとおりです。
ASA(config)# nat (inside) 1 192.168.10.0 255.255.255.0 #将内部网段转换为外部接口地址
ASA(config)# global (outside) 1 interface
ASA(config)# fixup protocol icmp #开启icmp协议,防火墙默认是关闭的
ASA(config)# nat-control #开启nat控制
ASA(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 #创建ACL抓取流量
ASA(config)# nat (inside) 0 access-list nonat 次のようにR1が設定さ:
R1(config)#access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 #创建ACL抓取拒绝虚拟专用网的流量
R1(config)#access-list 110 permit ip any any #允许所有流量
R1(config)#ip nat inside source list 110 int f1/0 overload #采用端口复用的PAT方式,解决内网访问互联网的问题
R1(config)#int f1/0 #进入接口
R1(config-if)#ip nat outside #启用nat功能,接口为outside
R1(config-if)#int f0/0 #进入接口
R1(config-if)#ip nat inside #启用nat功能,接口为inside
R1(config-if)#exit実験は、これまでのところ、すべてのそれはPCC1とPC2は、仮想プライベートネットワークセグメントを介して通信には影響しません、インターネットにアクセスできるネットワークの両方のニーズを満たすようになっています。
7、設定の確認NAT
マップ上で見ることができ、両方のは、PC2ネットワークにインターネット網、PC1にアクセスすることができますし、仮想プライベートネットワークを介して通信することができます。
第三に、要約
1、データ接続を確立する過程で、ASAファイアウォールが唯一のESPをサポートするには、そのため、ルータを終了することで、あなたは、データの検証、ルータおよびASAのためのESPプロトコルを使用する必要が成功したデータ接続を確立することができます。
2は、ルータ上のIKEネゴシエーションはデフォルトでオンになってますが、ASAモードでオフになっている、開いている「外の有効暗号ISAKMP」コマンドを使用する必要があります。
3、show crypto isakmp policyコマンドをサポートしていないファイアウォールは、あなたがショーを通して見るために実行することができます。
4、ASAのデフォルトのリリースすべての仮想プライベートネットワークのトラフィック、トラフィックは常にされているため、仮想プライベート・ネットワーク・セキュリティ、そう緑色光用のASA。
--------この記事の最後に、これまで、読んでくれてありがとう--------