博文大綱：

專注于為中小企業(yè)提供成都網(wǎng)站制作、網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)香河免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了近千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

• 一、網(wǎng)絡(luò)環(huán)境需求
• 二、配置前準(zhǔn)備
• 三、配置虛擬專用網(wǎng)
• 四、總結(jié)

---

前言：

之前寫過一篇博文：Cisco路由器之IPSec 虛擬專用網(wǎng)，那是在公司網(wǎng)關(guān)使用的是Cisco路由器的情況下，來搭建虛擬專用網(wǎng)的，那么公司網(wǎng)關(guān)若是Cisco的ASA防火墻呢？就讓這篇博文來帶你配置一下。

注：虛擬專用網(wǎng)：（Virtual Private Network），請看英文的首字母，就知道是什么咯，由于它是敏/感詞匯，所以文中全部使用虛擬專用網(wǎng)來代替

關(guān)于其中的知識點及相關(guān)概念，都在文章開頭的那篇博文鏈接中介紹的差不多了，在防火墻和路由器上實現(xiàn)虛擬專用網(wǎng)，原理差不多，所以這里就不啰嗦了，直接上配置。

網(wǎng)絡(luò)環(huán)境如下：

一、網(wǎng)絡(luò)環(huán)境需求

1、需要在總公司和各個分公司的網(wǎng)關(guān)ASA上建立IPSec虛擬專用網(wǎng)，實現(xiàn)總公司和分公司的某個網(wǎng)段（一般是只有某個部門有互通的必要性）互通。
2、兩個分公司之間也需要配置虛擬專用網(wǎng)實現(xiàn)互通，并且是通過總公司的網(wǎng)關(guān)ASA的outside區(qū)域的E0/1實現(xiàn)互通的（當(dāng)然，也可以繞過總公司的ASA防火墻，根據(jù)實際需求來定即可）。
3、不但總公司與分公司之間需要有虛擬專用網(wǎng)，而且不要影響公司內(nèi)部主機(jī)訪問Internet（通過端口PAT來實現(xiàn)，配置完成后，Telnet登錄R2路由器進(jìn)行驗證）。
4、公司內(nèi)部使用路由器來代替PC機(jī)進(jìn)行測試，Internet的R2路由器除了配置IP地址外，不可配置任何路由條目。

二、配置前準(zhǔn)備

（若直接在生產(chǎn)環(huán)境配置，并且配置了基本接口IP、路由等。則可以忽略配置前準(zhǔn)備）

1、我這里使用的是GNS3模擬器，自行搭建網(wǎng)絡(luò)拓?fù)鋱D，使用防火墻時，需要將接口類型改一下，如下（GNS3默認(rèn)不帶防火墻，需要自行載入，若需要幫助，可以私信我）：

2、自行配置接口IP地址以及路由條目，范例如下：

'路由器配置接口IP及路由條目（R2除外，都需要配置默認(rèn)路由，相當(dāng)于它的網(wǎng)關(guān)）'
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#in f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
'防火墻ASA配置接口IP及路由條目：'
ciscoasa> en
Password:      #默認(rèn)沒有密碼，直接回車即可
ciscoasa# conf t
ciscoasa(config)# in e0/0
ciscoasa(config-if)# nameif inside     #需要先定義區(qū)域
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# in e0/1
ciscoasa(config-if)# nameif ouside
INFO: Security level for "ouside" set to 0 by default.
ciscoasa(config-if)# ip add 201.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route ouside 0 0 201.0.0.2     #配置默認(rèn)路由，下一跳指向互聯(lián)網(wǎng)的R2路由器。

三、配置虛擬專用網(wǎng)

配置完接口IP及路由信息，即可跟著配置下面的虛擬專用網(wǎng)。

1、配置總公司與分公司1之間的虛擬專用網(wǎng)：

（1）總公司的ASA-1配置如下：

ASA-1(config)# crypto isakmp enable outside    #啟用ISAKMP/IKE
#'以下是配置ISAKMP策略（也就是管理連接的配置）'
ASA-1(config)# crypto isakmp policy 1   #策略序列號為“1”，范圍是1~10000，數(shù)值越小，優(yōu)先級越高
ASA-1(config-isakmp-policy)# authentication pre-share  #聲明設(shè)備認(rèn)證方式為“預(yù)先共享密鑰”
ASA-1(config-isakmp-policy)# encryption aes   #配置加密算法  
ASA-1(config-isakmp-policy)# hash md5    #hash命令指定驗證過程中采用的散列算法
ASA-1(config-isakmp-policy)# group 2   #采用DH算法的強(qiáng)度為group2
ASA-1(config-isakmp-policy)# lifetime 10000   #可選，管理連接生存周期，默認(rèn)為86400s（24小時）
ASA-1(config-isakmp-policy)# crypto isakmp key 2019.com address 202.0.0.1        #配置“預(yù)先共享密鑰”
#'下面是數(shù)據(jù)連接配置'
ASA-1(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
#定義虛擬專用網(wǎng)保護(hù)的流量   
ASA-1(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
#數(shù)據(jù)連接協(xié)商參數(shù)，“test-set”是自定義的名稱
ASA-1(config)# crypto map test-map 1 match address lan1_lan2   #匹配的ACL
ASA-1(config)# crypto map test-map 1 set peer 202.0.0.1    #虛擬專用網(wǎng)對端地址
ASA-1(config)# crypto map test-map 1 set transform-set test-set    #將數(shù)據(jù)連接關(guān)聯(lián)剛才創(chuàng)建的傳輸集
ASA-1(config)# crypto map test-map interface outside   #將crypto map 應(yīng)用到outside接口上。

關(guān)于配置中的命令已經(jīng)在上面全部體現(xiàn)出來了，接下來的大多數(shù)配置命令都可在上面找到相應(yīng)的注釋，所以下面我就不寫注釋了（體諒一下懶癌晚期患者）。
（2）分公司1的ASA-2配置如下：

ASA-2(config)# crypto isakmp enable outside
ASA-2(config)# crypto isakmp policy 1
ASA-2(config-isakmp-policy)# authentication pre-share
ASA-2(config-isakmp-policy)# encryption aes
ASA-2(config-isakmp-policy)# hash md5
ASA-2(config-isakmp-policy)# group 2
ASA-2(config-isakmp-policy)# lifetime 10000
ASA-2(config-isakmp-policy)# crypto isakmp key 2019.com address 201.0.0.1
ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-2(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-2(config)# crypto map test-map 1 match address lan2_lan1
ASA-2(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-2(config)# crypto map test-map 1 set transform-set test-set
ASA-2(config)# crypto map test-map interface outside

至此，總公司和分公司1的虛擬專用網(wǎng)就建立完成了，可以使用R3和R1進(jìn)行ping測試，虛擬專用網(wǎng)建立連接需要時間，在路由及接口IP配置無誤的情況下，ping個兩三次才可ping通，如果ping了三五次都沒ping通，多半是涼了，自行排錯吧，通過show run命令查看哪里配置錯了吧！

2、配置總公司與分公司3之間的虛擬專用網(wǎng)：

（1）總公司的ASA-1配置如下（關(guān)于管理連接的配置可以和總公司到分公司1的配置共用，可以說只要配置涉及了ACL及IP地址的命令改動下再配置一下就可以了）：

ASA-1(config)# crypto isakmp key 2020.com address 203.0.0.1
ASA-1(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA-1(config)# crypto map test-map 2 match address lan1_lan3
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set peer 203.0.0.1
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set transform-set test-set

（2）分公司2的ASA-3配置如下：

ASA-3(config)# crypto isakmp enable outside
ASA-3(config)# crypto isakmp policy 1
ASA-3(config-isakmp-policy)# authentication pre-share
ASA-3(config-isakmp-policy)# encryption aes
ASA-3(config-isakmp-policy)# hash md5
ASA-3(config-isakmp-policy)# group 2
ASA-3(config-isakmp-policy)# lifetime 10000
ASA-3(config-isakmp-policy)# crypto isakmp key 2020.com address 201.0.0.1
ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-3(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-3(config)# crypto map test-map 1 match address lan3_lan1
ASA-3(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-3(config)# crypto map test-map 1 set transform-set test-set
ASA-3(config)# crypto map test-map interface outside

配置至此，分公司2的R4路由器就可以ping通總公司的R1路由器了。

3、配置分公司2和分公司3的虛擬專用網(wǎng)（其實就是配置幾條ACL即可）：

#'總公司的ASA-1配置如下：'
ASA-1(config)# same-security-traffic permit intra-interface #允許流量進(jìn)入和離開同一個接口，默認(rèn)是禁止        
ASA-1(config)# access-list lan1_lan2  permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA-1(config)# access-list lan1_lan3  permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
#'分公司1的ASA-2配置如下：'
ASA-2(config)# access-list lan2_lan1  permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
#'分公司2的ASA-3配置如下：'
ASA-3(config)# access-list lan3_lan1  permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0

至此，總公司、分公司1和分公司2之間的虛擬專用網(wǎng)就建立成功了。其中需要注意的是，分公司1和分公司2之間的虛擬專用網(wǎng)的建立是基于總公司的防火墻的，一旦總公司的防火墻出現(xiàn)故障，那么分公司1和分公司2之間的虛擬專用網(wǎng)也就不復(fù)存在了。也可以選擇分公司1和分公司2之間直接建立虛擬專用網(wǎng)，它們之間的流量不再經(jīng)過總公司的防火墻，這個可以根據(jù)實際情況來定即可。

那么，被虛擬專用網(wǎng)保護(hù)的流量，如何訪問互聯(lián)網(wǎng)資源呢？現(xiàn)在就通過PAT來實現(xiàn)。讓每個公司內(nèi)部的主機(jī)，既可以通過虛擬專用網(wǎng)訪問到另一個公司的內(nèi)部資源，也可以使每個公司內(nèi)部的主機(jī)可以訪問到互聯(lián)網(wǎng)資源。

注：我查到的資料上看到，需要啟用NAT控制，并且豁免虛擬專用網(wǎng)流量，但是，我測試發(fā)現(xiàn)完全不需要，直接在ASA上做了PAT端口映射即可實現(xiàn)想要的效果，原本想再驗證下我的想法，但是網(wǎng)絡(luò)環(huán)境已經(jīng)被我關(guān)閉了，算了，有興趣的話自行驗證吧。

4、配置各個防火墻上的PAT端口映射：

總公司防火墻配置：

ASA-1(config)# nat-control 
ASA-1(config)# nat (inside) 1 0 0
ASA-1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-1(config)# access-list vpm permit ip 192.168.1.0 255.255.255.0 192.168.2.0$
ASA-1(config)# access-list vpm  permit ip 192.168.1.0 255.255.255.0 192.168.3.$
ASA-1(config)# nat (inside) 0 access-list vpm

分公司1防火墻配置：

ASA-2(config)# nat-control 
ASA-2(config)# nat (inside) 1  0  0
ASA-2(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-2(config)# nat (inside) 0 access-list lan2_lan1

分公司2防火墻配置：

ASA-3(config)# nat-control 
ASA-3(config)# nat (inside) 1  0  0
ASA-3(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ASA-3(config)# nat (inside) 0 access-list lan3_lan1

5、啟用Internet中的R2路由器的Telnet功能，以便公司內(nèi)部進(jìn)行訪問測試：

R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
R2(config-line)#exit
R2(config)#enable secret 123456

6、驗證（在驗證過程中，發(fā)現(xiàn)會ping一兩次才會完全ping通，剛開始會不通或丟包，屬于正?，F(xiàn)象，因為虛擬專用網(wǎng)建立連接也是需要時間的）：

四、總結(jié)

1、在數(shù)據(jù)連接建立過程中，ASA防火墻只支持ESP協(xié)議，因此，如果對端是路由器，使用了AH協(xié)議實現(xiàn)數(shù)據(jù)驗證功能，將無法與ASA成功地建立數(shù)據(jù)連接。
2、IKE協(xié)商在路由器上是默認(rèn)開啟的，但是在ASA上模式是關(guān)閉的，需要使用命令“ crypto isakmp enable outside”開啟。
3、ASA上配置預(yù)共享密鑰時，一般使用隧道組來配置密鑰，隧道組配置密鑰的過程將在下面文章末尾寫出來，我在上面使用的配置方法，是和路由器上一樣的配置方法，ASA會自動識別，并自動改為隧道組配置。
4、防火墻存在一種這樣一個限制，就是流量從一個接口進(jìn)入，就不能從相同安全級別的端口流出。當(dāng)然也不可以進(jìn)入和離開同一個接口，可以使用命令“ same-security-traffic permit intra-interface”，在上面的配置中，配置分公司1和分公司2時，由于流量需要進(jìn)入和離開總公司的e0/1接口，所以在總公司的防火墻上配置了這條命令。
5、ASA默認(rèn)放行一切虛擬專用網(wǎng)的流量，因為虛擬專用網(wǎng)的流量本來就是安全的，所以ASA為其開綠燈。

———————— 本文至此結(jié)束，感謝閱讀 ————————

網(wǎng)站欄目：在Cisco的ASA防火墻上實現(xiàn)IPSec虛擬專用網(wǎng)
文章轉(zhuǎn)載：http://jinyejixie.com/article22/peodjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站制作、搜索引擎優(yōu)化、商城網(wǎng)站、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)