ASA 5550 ***配置
拓撲圖如下:
IPsec ***(Ez***)
Ez***分爲Ez*** Server和Ez*** Remote(本文將Ez*** Remote等同於Ez*** Client),Ez*** Server通常就是我們的公司總部,Ez*** Server必須配置在公司總部的支持Ez***功能的硬件設備上,如路由器,防火牆以及***集中器都可以,並且公司總部端的Ez*** Server必須具備靜態固定的公網IP地址,用以接受任何Ez*** Client的IPsec ***連接請求。
Ez*** Client則佈署在需要和公司總部連接IPsec ***的Home Office以及出差在外的移動辦公人員處,Ez*** Client也可以配置在硬件路由器或防火牆上(準確地講這時就叫Ez*** Remote),但如果這樣去實現,就需要專業的配置,那還不如不用Ez***,所以Ez*** Client可以通過軟件的形式安裝到PC上(準確地講這時就叫Ez*** Client),當以軟件方式安裝了Ez*** Client之後,所有的必須的IPsec命令配置就交給軟件自動去完成,不需要人工干預,從而真正實現簡單易用。但我們知道,要完成IPsec ***連接,雙方必須就IKE(ISAKMP)策略、認證標識、IPsec transform保持一致,那麼通過Ez*** Client實現的IPsec又如何去和通過專業技術人員在公司總部的硬件設備上配置的Ez*** Server策略保持一致呢?這個答案也很簡單,那就是Ez*** Server直接告訴Ez*** Client該使用什麼樣的IPsec策略,因爲在Ez*** Client軟件中已經預先集成了幾乎所有的IPsec策略,當Ez*** Client向Ez*** Server請求建立IPsec ***連接時,Ez*** Server就會將自己通過專業人員配置好的IPsec策略發向Ez*** Client,相當於將自己的IPsec策略推送到Ez*** Client,當Ez*** Client收到這些IPsec策略之後,就從自己預先定義好的策略庫中選出完全匹配的策略來應用,最終在與Ez*** Server雙方IPsec策略保持一致之後建立IPsec ***。
省略基本網絡配置,配置內接口爲***in(10.1.98.247),外接口***out(公網IP)。
1、定義加解密技術、認證技術、密鑰管理技術和加密技術
firewall-c503(config)# crypto isakmp policy ?
configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
firewall-c503(config)# crypto isakmp policy 10
firewall-c503(config-isakmp-policy)# authentication pre-share
firewall-c503(config-isakmp-policy)# encryption des
firewall-c503(config-isakmp-policy)# hash md5
firewall-c503(config-isakmp-policy)# group 2
firewall-c503(config-isakmp-policy)# exit
firewall-c503(config)# crypto isakmp nat-traversal 10
firewall-c503(config)# crypto isakmp enable ***out
2、定義crypto map與IPsec transform (定義數據安全保護),並應用到***out
firewall-c503(config)# crypto ipsec transform-set firstset esp-des esp-md5-hmac
firewall-c503(config)# crypto dynamic-map firstdyn 10 set transform-set firstset
firewall-c503(config)# crypto map firstmap 10 ipsec-isakmp dynamic firstdyn
firewall-c503(config)# crypto map firstmap interface ***out
3、定義IP分配地址池、用戶組策略和隧道
firewall-c503(config)# ip local pool ***pool 10.1.98.128-10.1.98.192 mask 255.255.255.0
firewall-c503(config)# group-policy firstpolicy internal //策略配置在本地
firewall-c503(config-group-policy)# group-policy firstpolicy attributes
firewall-c503(config-group-policy)# dns-server value 10.1.254.253
firewall-c503(config-group-policy)# ***-tunnel-protocol IPSec l2tp-ipsec web***
firewall-c503(config)# tunnel-group DefaultRAGroup general-attributes
firewall-c503(config-tunnel-general)# address-pool ***pool
firewall-c503(config-tunnel-general)# default-group-policy firstpolicy
firewall-c503(config)# tunnel-group DefaultRAGroup ipsec-attributes
firewall-c503(config-tunnel-ipsec)# pre-shared-key zhujianyue
4、創建用戶和密碼
firewall-c503(config)# username test password test
5、安裝Cisco.***.Client(建議5.0以上)
下載地址:http://xxx.gd2.xdowns.com:8080/0810/Cisco.***.Client.rar
新建一個連接
點保存後,點連接會彈出如下畫面
6、隧道分離
在第5步你成功撥入***會發現所有的流量都***線路流出,查看如下本機路由表。
爲了解決這個問題,讓需要走***線路的流量走***,就出現了隧道分離技術。配置如下:
使用ACL定義需要走***線路的流量
firewall-c503(config)# access-list No_nat extended permit ip 10.1.0.0 255.255.0.0 any
定義10.1.0.0/16的流量走***線路
將ACL加入到組策略
firewall-c503(config-group-policy)# split-tunnel-policy tunnelspecified
firewall-c503(config-group-policy)# split-tunnel-network-list value No_nat
再進行***遠程撥入後,路由表如下:
至此,Ez***配置完成。
SSL ***(WEB ***)
在沒有能夠支持***功能路由器的家庭網絡,以及出差在外的沒有使用路由器就接入Internet的辦公人員,如果在這種情況下還需要與公司總部建立***以保證數據加密傳輸,使用傳統的***技術將難以實現,我們可以採用前面介紹的Easy ***來實現,Easy ***管理簡單,維護方便,但是我們還需要注意的是,在使用Easy ***之前,必須在PC上安裝Client軟件,在一臺沒有安裝Client軟件的PC上是不能建立Easy ***連接的,因爲Easy ***是C/S架構的。
SSL ***的實現就可以不需要藉助軟件來完成,在一臺沒有安裝任何軟件的PC上同樣可以建立SSL ***連接,這就是它的優點,想必這個優點也被許多人看中。SSL ***的建立只要在PC上使用支持HTTPS (HTTP over SSL)的網頁瀏覽器就可以完成,擺脫了安裝軟件的困擾,這就使得SSL ***在任何環境的PC上都能夠建立,因爲現在幾乎沒有任何一臺PC上是沒有網頁瀏覽器的。
1、定義加解密技術、認證技術、密鑰管理技術和加密技術
firewall-c503(config)# crypto isakmp policy 10
firewall-c503(config-isakmp-policy)# authentication pre-share
firewall-c503(config-isakmp-policy)# encryption des
firewall-c503(config-isakmp-policy)# hash md5
firewall-c503(config-isakmp-policy)# group 2
firewall-c503(config-isakmp-policy)# exit
firewall-c503(config)# crypto isakmp nat-traversal 10
firewall-c503(config)# crypto isakmp enable ***out
2、啓用web***
firewall-c503(config)# web***
firewall-c503(config-web***)# enable ***out
firewall-c503(config-web***)# svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1
firewall-c503(config-web***)# svc enable
firewall-c503(config-web***)# tunnel-group-list enable
3、定義crypto map與IPsec transform (定義數據安全保護),並應用到***out
firewall-c503(config)# crypto ipsec transform-set firstset esp-des esp-md5-hmac
firewall-c503(config)# crypto dynamic-map firstdyn 10 set transform-set firstset
firewall-c503(config)# crypto map firstmap 10 ipsec-isakmp dynamic firstdyn
firewall-c503(config)# crypto map firstmap interface ***out
4、定義IP分配地址池、用戶組策略和隧道
firewall-c503(config)# ip local pool ***pool 10.1.98.128-10.1.98.192 mask 255.255.255.0
firewall-c503(config)# group-policy firstpolicy internal //策略配置在本地
firewall-c503(config-group-policy)# group-policy firstpolicy attributes
firewall-c503(config-group-policy)# dns-server value 10.1.254.253
firewall-c503(config-group-policy)# ***-tunnel-protocol IPSec l2tp-ipsec web***
這裏模式加web***時,是B/S模式;當模式加svc時,會提示下載客戶端是C/S模式。
firewall-c503(config)# tunnel-group DefaultRAGroup general-attributes
firewall-c503(config-tunnel-general)# address-pool ***pool
firewall-c503(config-tunnel-general)# default-group-policy firstpolicy
firewall-c503(config)# tunnel-group DefaultRAGroup web***-attributes
firewall-c503(config-tunnel-web***)# group-alias DefaultRAGroup enable
5、創建用戶和密碼
firewall-c503(config)# username test password test
6、測試
打開瀏覽器輸入:https://ip
以下是web***模式
以下SVC模式
在右下角任務欄裏會多出一個圖標,查看路由表你會發現多了一條路由
L2tp over ipsec ***
L2TP ***的隧道是在二層實現的,它結合了兩個隧道協議的特性:
Cisco的 Layer 2 Forwarding (L2F)
Microsoft的Point-to-Point Tunneling Protocol (PPTP)
但這些隧道協議只是實現隧道而已,無法保證數據安全,所以利用IPsec來保護數據更爲理想。如果將L2TP結合IPsec來使用,則稱爲L2TP over IPsec。
L2TP使用UDP 端口號1701,在配置L2TP over IPsec時,IPsec 應該配置爲transport mode。
1、定義加解密技術、認證技術、密鑰管理技術和加密技術
firewall-c503(config)# crypto isakmp policy 10
firewall-c503(config-isakmp-policy)# authentication pre-share
firewall-c503(config-isakmp-policy)# encryption des
firewall-c503(config-isakmp-policy)# hash md5
firewall-c503(config-isakmp-policy)# group 2
firewall-c503(config-isakmp-policy)# exit
firewall-c503(config)# crypto isakmp nat-traversal 10
firewall-c503(config)# crypto isakmp enable ***out
3、定義crypto map與IPsec transform (定義數據安全保護),並應用到***out
firewall-c503(config)# crypto ipsec transform-set secondset esp-des esp-md5-hmac
firewall-c503(config)# crypto ipsec transform-set secondset mode transport
因爲只用ipsec來加密數據傳輸,所以選擇transport模式
firewall-c503(config)# crypto dynamic-map firstdyn 20 set transform-set secondset
firewall-c503(config)# crypto map firstmap 10 ipsec-isakmp dynamic firstdyn
firewall-c503(config)# crypto map firstmap interface ***out
4、定義IP分配地址池、用戶組策略和隧道
firewall-c503(config)# ip local pool ***pool 10.1.98.128-10.1.98.192 mask 255.255.255.0
firewall-c503(config)# group-policy firstpolicy internal //策略配置在本地
firewall-c503(config-group-policy)# group-policy firstpolicy attributes
firewall-c503(config-group-policy)# dns-server value 10.1.254.253
firewall-c503(config-group-policy)# ***-tunnel-protocol IPSec l2tp-ipsec svn
firewall-c503(config)# tunnel-group DefaultRAGroup general-attributes
firewall-c503(config-tunnel-general)# address-pool ***pool
firewall-c503(config-tunnel-general)# default-group-policy firstpolicy
firewall-c503(config)# tunnel-group DefaultRAGroup ppp-attributes
firewall-c503(config-ppp)# authentication ms-chap-v2
5、創建用戶和密碼
firewall-c503(config)# username test password test
firewall-c503(config)# username test password test mschap
6、新建連接測試
查看路由表:
你會發現隧道分享信息怎麼沒有過來,所有流量都流向了***線路。遺憾的是PPTP/L2TP ***不支持在*** Server上配置隧道分離,因爲PPTP *** Server無法向Client推送隧道分離信息。
因爲ASA上不支持PPTP ***,在此不做測試,基本上與L2tp一樣。
總結
IPsec *** 需要安裝客戶端,兼容性不好。
SSL *** 兼容性很好,兩種模式C/S和B/S 兩種模式都能實現,但是需要購買額外的license。
L2TP *** 不能實現隧道分離,需要手工添加路由,很不方便。但其windows 兼容性比IPsec好,也不需要購買額外的license。
你可能想要在ASA5550上同時實現以上3種***供客戶使用,這是完全可以的。因爲L2TP ***使用的是IPaec 模式是transport,而IPsec ***使用的IPsec的tunnel模式,所以ASA上至少要有兩個公網接口,因爲map只能應用在一個接口上
firewall-c503(config)# crypto map firstmap interface ?
configure mode commands/options:
Current available interface(s):
management Name of interface Management0/0
***in Name of interface GigabitEthernet0/0
***out Name of interface GigabitEthernet0/1
Troubleshoot
一、基本排錯步驟:
1、收集日誌
firewall-c503(config)# logging enable
firewall-c503(config)# logging buffer-size 1048576
firewall-c503(config)# logging buffered debugging
2、根據日誌調整配置
二、Example
1、IE9無法使用SSL***,IE6可以使用
IE9訪問時的日誌
IE6訪問時的日誌
可以很清楚的看出是SSL加密技術不匹配的問題,可以使用
firewall-c503(config)# ssl encryption ?
configure mode commands/options:
3des-sha1 Indicate use of 3des-sha1 for ssl encryption
aes128-sha1 Indicate use of aes128-sha1 for ssl encryption
aes256-sha1 Indicate use of aes256-sha1 for ssl encryption
des-sha1 Indicate use of des-sha1 for ssl encryption
null-sha1 Indicate use of null-sha1 for ssl encryption (NOTE: Data is NOT
encrypted if this cipher is chosen)
rc4-md5 Indicate use of rc4-md5 for ssl encryption
rc4-sha1 Indicate use of rc4-sha1 for ssl encryption
杯具的入手的ASA沒有3des加密許可,無法驗證。
2、L2TP撥號時錯誤
有時撥時,出現 789錯誤
進行debug調試,發現第一階段時密鑰管理認證出錯,根據相應錯誤進行調整用戶組策略,也可以多建幾個用戶組策略。
firewall-c503# debug crypto isakmp 7
從上面的信息可以看出是IKE第一階段沒有匹配成功,應該組策略中的密鑰管理改成Group 1。再次撥號成功。
3、查看***信息
firewall-c503# show crypto ipsec sa
firewall-c503# show crypto isakmp sa
firewall-c503# show crypto protocol statistics all
------------------------------------------------------------
建議下載附件,打開導航閱讀,要是好就頂下哦~~~~