网络管理 : Cisco Configuration Professional

配置专业人员:在ASA/PIX和IOS路由器之间的站点至站点IPSec VPN配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文为在Cisco安全伊莱克斯(ASA/PIX)使用Cisco Configuration Professional (思科CP),和Cisco IOS 路由器之间的LAN对LAN (站点到站点) IPSec隧道提供一配置示例。为了简单起见,使用静态路由。

要了解有关 PIX/ASA 安全设备运行软件版本 7.x 的相同方案的详细信息,请参阅 PIX/ASA 7.x 安全设备到 IOS 路由器 LAN 到 LAN IPsec 隧道配置示例

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 必须建立端到端 IP 连接才能开始此配置。

  • 必须为数据加密标准 (DES) 加密(在最低加密级别)启用安全设备许可证。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco 自适应安全设备 (ASA) 版本 8.x 及更高版本

  • ASDM 版本 6.x. 及更高版本

  • 配备 Cisco IOS 软件版本 12.4(15T) 的 Cisco 1841 路由器

  • Cisco CP 版本 2.1

注意: 要使 ASDM 可配置 ASA,请参阅允许 ASDM 进行 HTTPS 访问

注意: 请参阅使用 Cisco Configuration Professional 的基本路由器配置,以通过 Cisco CP 配置路由器。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于 Cisco PIX 500 系列安全设备,这些设备运行版本 7.x 及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

网络图

本文档使用以下网络设置:

ccp-vpn-asa-router-config-01.gif

注意: 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。leavingcisco.com

VPN 隧道 ASDM 配置

执行以下步骤,创建 VPN 隧道:

  1. 打开浏览器并输入 https://<为访问 ASDM 而配置的 ASA 接口的 IP 地址>,以访问 ASA 上的 ASDM。

    确保核准浏览器提供的有关 SSL 证书真实性的任何警告。默认的用户名和口令均为空。

    ASA 显示此窗口以允许下载 ASDM 应用程序。此示例将应用程序加载到本地计算机,但不在 Java 小程序中运行。

    ccp-vpn-asa-router-config-02.gif

  2. 单击 Download ASDM Launcher and Start ASDM 以下载 ASDM 应用程序的安装程序。

  3. 下载 ASDM 启动程序之后,执行提示步骤以安装软件并运行 Cisco ASDM 启动程序。

  4. 使用 http - 命令为您配置的接口输入 IP 地址。此外,输入指定的用户名和口令。

    本示例使用的用户名和口令均为 cisco123

    ccp-vpn-asa-router-config-03.gif

  5. 在 ASDM 应用程序连接到 ASA 之后,运行 IPsec VPN Wizard

    /image/gif/paws/112153/ccp-vpn-asa-router-config-04.gif

  6. 选择 Site-to-Site 作为 IPsec VPN 隧道类型,然后单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-05.gif

  7. 指定远程对等体的外部 IP 地址。输入要使用的身份验证信息,在本示例中是预共享密钥。本示例中使用的预共享密钥是 cisco123。如果您配置 L2L VPN,默认情况下 Tunnel Group Name 将是外部 IP 地址。单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-06.gif

  8. 指定要用于 IKE 的属性,也称为“第 1 阶段”。这些属性在 ASA 和 IOS 路由器上必须相同。单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-07.gif

  9. 指定要用于 IPsec 的属性,也称为“第 2 阶段”。这些属性在 ASA 和 IOS 路由器上必须匹配。单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-08.gif

  10. 指定应允许其数据流通过 VPN 隧道的主机。在此步骤中,您必须为 VPN 隧道提供本地网络和远程网络。单击 Local Networks 旁边的按钮(如此处所示),从下拉菜单中选择本地网络地址。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-09.gif

  11. 选择 Local Network 地址,然后单击 OK

    /image/gif/paws/112153/ccp-vpn-asa-router-config-10.gif

  12. 单击 Remote Networks 旁边的按钮,然后从下拉菜单中选择远程网络地址。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-11.gif

  13. 选择 Remote Network 地址,然后单击 OK

    注意: 如果列表中没有 Remote Network,必须将网络添加到列表中。单击 Add 以执行此操作。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-12.gif

  14. 选中 Exempt ASA side host/network from address translation 复选框,以防止隧道数据流进行网络地址转换。单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-13.gif

  15. 此概要中显示了通过 VPN 向导定义的属性。再次检查配置,如果您确定设置正确,请单击 Finish

    /image/gif/paws/112153/ccp-vpn-asa-router-config-14.gif

路由器 Cisco CP 配置

执行以下步骤,以便在 Cisco IOS 路由器上配置站点到站点 VPN 隧道:

  1. 选择 Configure > Security > VPN > Site-to-Site VPN,并单击 Create a Site-to-Site VPN 旁边的单选按钮。单击 Launch the selected task

    /image/gif/paws/112153/ccp-vpn-asa-router-config-15.gif

  2. 选择 Step by step wizard 继续进行配置,然后单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-16.gif

  3. 在下一个窗口的相应空白处提供 VPN 连接信息。从下拉菜单中选择 VPN 隧道的接口。此处选择 FastEthernet0。在 Peer Identity 中,选择具有静态 IP 地址的对等体并提供远程对等体 IP 地址。然后,在 Authentication 部分中提供 Pre-shared Key(在本示例中为 cisco123)。最后,单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-17.gif

  4. 单击 Add 添加指定加密算法、验证算法和密钥交换方法的 IKE 建议。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-18.gif

  5. 提供加密算法、验证算法和密钥交换方法,然后单击 OK。加密算法、验证算法和密钥交换方法值应与 ASA 中提供的数据匹配。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-19.gif

  6. 单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-20.gif

  7. 在此新窗口中提供转换集详细信息。“转换集”指定用于保护 VPN 隧道中的数据的加密算法和验证算法。单击 Add 以提供这些详细信息。使用此方法可根据需要添加任意数量的转换集。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-21.gif

  8. 提供转换集详细信息(完整性和加密算法),然后单击 OK

    /image/gif/paws/112153/ccp-vpn-asa-router-config-22.gif

  9. 从下拉菜单中选择所需的 Transform Set,然后单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-23.gif

  10. 在以下窗口中提供有关要保护的数据流(通过 VPN 隧道)的详细信息。提供要保护的数据流的源网络和目标网络,以便保护指定的源网络和目标网络之间的数据流。在本示例中,源网络是 10.20.10.0,目标网络是 10.10.10.0。单击 Next

    /image/gif/paws/112153/ccp-vpn-asa-router-config-24.gif

  11. 此窗口显示站点到站点 VPN 配置的汇总。如果您要测试 VPN 连接性,请选中 Test VPN Connectivity after configuring 复选框。此处选中此框是因为需要检查连接性。单击 完成

    /image/gif/paws/112153/ccp-vpn-asa-router-config-25.gif

  12. 单击 Start 以检查 VPN 连接性。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-26.gif

  13. 下一个窗口中提供了 VPN 连接性测试的结果。您可以在此处看到隧道处于启用还是禁用状态。在此示例配置中,隧道处于“启用”状态,显示为绿色。

    /image/gif/paws/112153/ccp-vpn-asa-router-config-27.gif

    至此已完成对 Cisco IOS 路由器的配置。

ASA CLI 配置

ASA
ASA# show run
: Saved
ASA Version 8.2
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configure the outside interface.
!

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0 

!--- Configure the inside interface.
!

interface Ethernet0/2
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0 




!-- Output suppressed
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid

access-list 100 extended permit ip any any
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 
10.20.10.0 255.255.255.0 


!--- This access list (inside_nat0_outbound) is used 
!--- with the nat zero command. This prevents traffic which 
!--- matches the access list from undergoing network address translation (NAT).
!--- The traffic specified by this ACL is traffic that is to be encrypted and
!--- sent across the VPN tunnel.  This ACL is intentionally 
!--- the same as (outside_1_cryptomap).
!--- Two separate access lists should always be used in this configuration.

access-list outside_1_cryptomap extended permit ip 10.10.10.0 255.255.255.0 
10.20.10.0 255.255.255.0

!--- This access list (outside_cryptomap) is used 
!--- with the crypto map outside_map 
!--- to determine which traffic should be encrypted and sent 
!--- across the tunnel.
!--- This ACL is intentionally the same as (inside_nat0_outbound).  
!--- Two separate access lists should always be used in this configuration.

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm-613.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.10.10.0 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound

!--- NAT 0 prevents NAT for networks specified in 
!--- the ACL inside_nat0_outbound.


access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 dmz
no snmp-server location
no snmp-server contact


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

!--- Define the transform set for Phase 2.



crypto map outside_map 1 match address outside_1_cryptomap

!--- Define which traffic should be sent to the IPsec peer.


crypto map outside_map 1 set peer 172.17.1.1

!--- Sets the IPsec peer


crypto map outside_map 1 set transform-set ESP-DES-SHA

!--- Sets the IPsec transform set "ESP-AES-256-SHA"
!--- to be used with the crypto map entry "outside_map".


crypto map outside_map interface outside

!--- Specifies the interface to be used with 
!--- the settings defined in this configuration.


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses isakmp policy 10.   
!--- The configuration commands here define the Phase 
!--- 1 policy parameters that are used.


crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 1
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!

 

tunnel-group 172.17.1.1 type ipsec-l2l

!--- In order to create and manage the database of connection-specific 
!--- records for ipsec-l2l—IPsec (LAN-to-LAN) tunnels, use the command
!--- tunnel-group in global configuration mode.
!--- For L2L connections the name of the tunnel group MUST be the IP 
!--- address of the IPsec peer.



tunnel-group 172.17.1.1 ipsec-attributes
 pre-shared-key *

!--- Enter the pre-shared-key in order to configure the 
!--- authentication method.


telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!



!-- Output suppressed!

username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
Cryptochecksum:be38dfaef777a339b9e1c89202572a7d
: end

路由器 CLI 配置

路由器
Building configuration...

Current configuration : 2403 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
username cisco123 privilege 15 password 7 1511021F07257A767B
no aaa new-model
ip subnet-zero
!
!
ip cef
!
!
ip ips po max-events 100
no ftp-server write-enable
!


!--- Configuration for IKE policies.
!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation. Encryption and Policy details are hidden
!---as the default values are chosen.


crypto isakmp policy 2
 authentication pre-share


!--- Specifies the pre-shared key "cisco123" which should 
!--- be identical at both peers. This is a global 
!--- configuration mode command.

crypto isakmp key cisco123 address 172.16.1.1
!
!

!--- Configuration for IPsec policies.
!--- Enables the crypto transform configuration mode, 
!--- where you can specify the transform sets that are used 
!--- during an IPsec negotiation.

crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac 
!


!--- Indicates that IKE is used to establish 
!--- the IPsec Security Association for protecting the  
!--- traffic specified by this crypto map entry.

crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Tunnel to172.16.1.1
 

!--- Sets the IP address of the remote end.

 set peer 172.16.1.1
 

!--- Configures IPsec to use the transform-set 
!--- "ASA-IPSEC" defined earlier in this configuration.
 
 set transform-set ASA-IPSEC 
 

!--- !--- Specifies the interesting traffic to be encrypted.

 match address 100
!
!
!

!--- Configures the interface to use the 
!--- crypto map "SDM_CMAP_1" for IPsec.

interface FastEthernet0
 ip address 172.17.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
!
interface FastEthernet1
 ip address 10.20.10.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface Vlan1
 ip address 10.77.241.109 255.255.255.192
!
ip classless
ip route 10.10.10.0 255.255.255.0 172.17.1.2
ip route 10.77.233.0 255.255.255.0 10.77.241.65
ip route 172.16.1.0 255.255.255.0 172.17.1.2
!
!
ip nat inside source route-map nonat interface FastEthernet0 overload
!
ip http server
ip http authentication local
ip http secure-server
!

!--- Configure the access-lists and map them to the Crypto map configured.

access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
!
!
!

!--- This ACL 110 identifies the traffic flows using route map 

access-list 110 deny ip 10.20.10.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 110 permit ip 10.20.10.0 0.0.0.255 any
route-map nonat permit 10
 match ip address 110
!
control-plane
!
!
line con 0
 login local
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
end

此视频被张贴对Cisco支持社区展示如何配置在思科ASA和Cisco路由器之间的站点至站点IPSec VPN

ccp-vpn-asa-router-config-28.gif

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

ASA/PIX 安全设备 - show 命令

  • show crypto isakmp sa - 显示对等体上的所有当前 IKE SA。

    ASA# show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.17.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
  • show crypto ipsec sa - 显示对等体上的所有当前 IPsec SA。

    ASA# show crypto ipsec sa
    			interface: outside
        Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1
    
          local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
          current_peer: 172.17.1.1
    
         #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
          #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.1.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: 434C4A7F
    
        inbound esp sas:
          spi: 0xB7C1948E (3082917006)
             transform: esp-des esp-sha-hmac none
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 12288, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4274999/3588)
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x434C4A7F (1129073279)
             transform: esp-des esp-sha-hmac none
             in use settings ={L2L, Tunnel, PFS Group 2, }
             slot: 0, conn_id: 12288, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4274999/3588)
             IV size: 8 bytes
             replay detection support: Y

远程 IOS 路由器 - show 命令

  • show crypto isakmp sa - 显示对等体上的所有当前 IKE SA。

    Router# show crypto isakmp sa
    
    dst             src             state          conn-id slot status
    172.17.1.1      172.16.1.1      QM_IDLE              3    0 ACTIVE
    
  • show crypto ipsec sa - 显示对等体上的所有当前 IPsec SA。

    Router# show crypto ipsec sa
    		interface: FastEthernet0
        Crypto map tag: SDM_CMAP_1, local addr 172.17.1.1
    
       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.20.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
       current_peer 172.16.1.1 port 500
         PERMIT, flags={origin_is_acl,}
      #pkts encaps: 68, #pkts encrypt: 68, #pkts digest: 68
        #pkts decaps: 68, #pkts decrypt: 68, #pkts verify: 68
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.1
         path mtu 1500, ip mtu 1500
         current outbound spi: 0xB7C1948E(3082917006)
         
         inbound esp sas:
          spi: 0x434C4A7F(1129073279)
            transform: esp-des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 2001, flow_id: C18XX_MBRD:1, crypto map: SDM_CMAP_1
            sa timing: remaining key lifetime (k/sec): (4578719/3004)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         inbound ah sas:
    
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0xB7C1948E(3082917006)
            transform: esp-des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 2002, flow_id: C18XX_MBRD:2, crypto map: SDM_CMAP_1
            sa timing: remaining key lifetime (k/sec): (4578719/3002)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
    
         outbound ah sas:
    
         outbound pcp sas:
  • show crypto engine connections active — 显示有关加密和解密数据包(仅限路由器)的当前连接和信息。

    Router#show crypto engine connections active
    
      ID Interface        IP-Address    State  Algorithm           Encrypt  Decrypt
       3 FastEthernet0    172.17.1.1    set    HMAC_SHA+DES_56_CB        0        0
    2001 FastEthernet0    172.17.1.1    set    DES+SHA                   0       59
    2002 FastEthernet0    172.17.1.1    set    DES+SHA                  59        0
    

故障排除

本部分提供的信息可用于对配置进行故障排除。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 debug 命令的重要信息IP 安全故障排除 - 了解和使用 debug 命令

  • debug crypto ipsec 7 - 显示第 2 阶段的 IPsec 协商。

    debug crypto isakmp 7 - 显示第 1 阶段的 ISAKMP 协商。

  • debug crypto ipsec - 显示第 2 阶段的 IPsec 协商。

    debug crypto isakmp - 显示第 1 阶段的 ISAKMP 协商。

有关站点到站点 VPN 故障排除的详细信息,请参阅最常见的 L2L 和远程访问 IPsec VPN 故障排除解决方案

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 112153