Cisco篇 NGFW以Tunnel接口方式與ASA建立IPSec隧道
組網(wǎng)需求
如圖1-1所示����,總部和分支網(wǎng)關(guān)分別通過NGFW和ASA設(shè)備接入Internet����?����?偛啃枰獙⑼ㄟ^IPSec隧道傳輸?shù)牧髁咳恳氲?/span>Tunnel接口,便于對經(jīng)過IPSec隧道傳輸?shù)牧髁窟M行管理��,以實現(xiàn)分支和總部內(nèi)網(wǎng)安全互通���。
圖1-1 NGFW以Tunnel接口方式與Cisco網(wǎng)關(guān)建立IPSec隧道
配置項 | NGFW | ASA |
設(shè)備信息 | l 設(shè)備型號:USG6330 l 軟件版本:V100R001C30 | l 設(shè)備型號:ASA5520-K8 l 軟件版本:9.1 |
IPSec安全提議 | 封裝模式 | 隧道模式 | 隧道模式 |
安全協(xié)議 | ESP | ESP |
ESP協(xié)議驗證算法 | SHA1 | ESP-SHA-HMAC |
ESP協(xié)議加密算法 | AES | ESP-AES |
IKE對等體 | 協(xié)商模式 | 主模式 | 主模式 |
加密算法 | AES-128 | AES |
認證算法 | SHA1 | SHA |
DH Group | GROUP2 | GROUP 2 |
預共享密鑰 | Key123 | Key123 |
身份類型 | IP地址 | IP地址 |
版本 | V1 | V1 |
操作步驟
步驟 1 配置NGFW���。
1. 配置接口IP地址�����,并將接口加入安全區(qū)域�����。
[NGFW] interface GigabitEthernet 1/0/1
[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[NGFW-GigabitEthernet1/0/1] ip service-manage ping permit /*允許ASA設(shè)備ping此接口�。*/
[NGFW-GigabitEthernet1/0/1] quit
[NGFW] interface GigabitEthernet 1/0/2
[NGFW-GigabitEthernet1/0/2] ip address 1.1.3.1 24
[NGFW-GigabitEthernet1/0/2] service-manage ping permit /*允許ASA設(shè)備ping此接口����。*/
[NGFW-GigabitEthernet1/0/2] quit
[NGFW] interface tunnel 1
[NGFW-Tunnel1] ip address unnumbered interface GigabitEthernet1/0/2
[NGFW-Tunnel1] tunnel-protocol ipsec
[NGFW-Tunnel1] service-manage ping permit
[NGFW-Tunnel1] quit
[NGFW] firewall zone trust
[NGFW-zone-trust] add interface GigabitEthernet 1/0/1
[NGFW-zone-trust] quit
[NGFW] firewall zone untrust
[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2
[NGFW-zone-untrust] add interface tunnel 1
[NGFW-zone-untrust] quit
2. 配置域間安全策略。
a. 配置Trust域與Untrust域的安全策略��,允許IPSec封裝前和解封裝后的原始報文能通過NGFW���。
[NGFW] security-policy
[NGFW-policy-security] rule name 1
[NGFW-policy-security-rule-1] source-zone untrust
[NGFW-policy-security-rule-1] destination-zone trust
[NGFW-policy-security-rule-1] source-address 10.1.3.0 24
[NGFW-policy-security-rule-1] destination-address 10.1.1.0 24
[NGFW-policy-security-rule-1] action permit
[NGFW-policy-security-rule-1] quit
[NGFW-policy-security] rule name 2
[NGFW-policy-security-rule-2] source-zone trust
[NGFW-policy-security-rule-2] destination-zone untrust
[NGFW-policy-security-rule-2] source-address 10.1.1.0 24
[NGFW-policy-security-rule-2] destination-address 10.1.3.0 24
[NGFW-policy-security-rule-2] action permit
[NGFW-policy-security-rule-2] quit
b. 配置Local域與Untrust域的安全策略��,允許IKE協(xié)商報文能正常通過NGFW�����。
[NGFW-policy-security] rule name 3
[NGFW-policy-security-rule-3] source-zone local
[NGFW-policy-security-rule-3] destination-zone untrust
[NGFW-policy-security-rule-3] source-address 1.1.3.1 32
[NGFW-policy-security-rule-3] destination-address 1.1.5.1 32
[NGFW-policy-security-rule-3] action permit
[NGFW-policy-security-rule-3] quit
[NGFW-policy-security] rule name 4
[NGFW-policy-security-rule-4] source-zone untrust
[NGFW-policy-security-rule-4] destination-zone local
[NGFW-policy-security-rule-4] source-address 1.1.5.1 32
[NGFW-policy-security-rule-4] destination-address 1.1.3.1 32
[NGFW-policy-security-rule-4] action permit
[NGFW-policy-security-rule-4] quit
3. 配置IPSec策略���。
a. 配置訪問控制列表��,定義需要保護的數(shù)據(jù)流�����。
[NGFW]acl 3000
[NGFW-acl-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
[NGFW-acl-adv-3000]quit
b. 配置IPSec安全提議��。
[NGFW] ipsec proposal tran1
[NGFW-ipsec-proposal-tran1] transform esp
[NGFW-ipsec-proposal-tran1] encapsulation-mode tunnel
[NGFW-ipsec-proposal-tran1] esp authentication-algorithm sha1
[NGFW-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[NGFW-ipsec-proposal-tran1] quit
c. 創(chuàng)建IKE安全提議��。
[NGFW] ike proposal 1
[NGFW-ike-proposal-1] encryption-algorithm aes-128
[NGFW-ike-proposal-1] authentication-algorithm sha1
[NGFW-ike-proposal-1] dh group2
[NGFW-ike-proposal-1] quit
d. 配置IKE對等體�。
[NGFW] ike peer asa
[NGFW-ike-peer-asa] undo version 2
[NGFW-ike-peer-asa] exchange-mode main
[NGFW-ike-peer-asa] ike-proposal 1
[NGFW-ike-peer-asa] remote-address 1.1.5.1
[NGFW-ike-peer-asa] pre-shared-key Key123
[NGFW-ike-peer-asa] quit
e. 配置isakmp方式的IPSec策略��。
[NGFW] ipsec policy map1 1 isakmp
[NGFW-ipsec-policy-isakmp-map1-1] security acl 3000
[NGFW-ipsec-policy-isakmp-map1-1] proposal tran1
[NGFW-ipsec-policy-isakmp-map1-1] ike-peer asa
[NGFW-ipsec-policy-isakmp-map1-1] quit
f. 在Tunnel接口上應(yīng)用IPSec策略��。
[NGFW] interface Tunnel 1
[NGFW-Tunnel1] ipsec policy map1
[NGFW-Tunnel1] quit
4. 配置路由����。
# 配置到分支內(nèi)網(wǎng)的路由,并將流量引流到Tunnel接口��。
[NGFW] ip route-static 10.1.3.0 24 tunnel 1
# 配置到NGFW連接到Internet的缺省路由����,假設(shè)下一跳為1.1.3.2。
[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
步驟 2 配置ASA設(shè)備���。
1. 配置ASA接口的IP地址���。
ASA5520> en
ASA5520# configure terminal
ASA5520(config)# interface GigabitEthernet 0/1
ASA5520(config-if)# nameif in
ASA5520(config-if)# security-level 90
ASA5520(config-if)# ip address 10.1.3.1 255.255.255.0
ASA5520(config-if)# exit
ASA5520(config)# interface interface GigabitEthernet 0/2
ASA5520(config-if)# nameif out
ASA5520(config-if)# security-level 10
ASA5520(config-if)# ip address 1.1.5.1 255.255.255.0
ASA5520(config-if)# exit
2. 打開ASA接口的訪問控制。
ASA5520(config)# access-list 10 extended permit icmp any any
ASA5520(config)# access-group 10 in interface in
ASA5520(config)# access-group 10 out interface in
ASA5520(config)# access-group 10 in interface out
ASA5520(config)# access-group 10 out interface out
3. 配置ASA到Internet的缺省路由����,假設(shè)下一跳地址為1.1.5.2。
ASA5520(config)# route out 0.0.0.0 0.0.0.0 1.1.5.2 1
4. 配置IPSec����。
a. 配置ACL(訪問控制列表),定義需要保護的數(shù)據(jù)流�。
這里需要注意,Cisco這里的ACL用的是掩碼��,而HUAWEI設(shè)備用的是反掩碼���,兩者存在不同�。
ASA5520(config)# access-list ipsec permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0
b. 配置IPSec安全提議�����。
ASA5520(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac
c. 創(chuàng)建IKE安全提議。
ASA5520(config-isakmp-policy)# crypto isakmp policy 10
ASA5520(config-isakmp-policy)# authentication pre-share
ASA5520(config-isakmp-policy)# encryption aes
ASA5520(config-isakmp-policy)# hash sha
ASA5520(config-isakmp-policy)# group 2
ASA5520(config-isakmp-policy)# lifetime 86400
d. 配置預共享密鑰�。
ASA5520(config)# crypto isakmp key Key123 address 1.1.3.1
e. 配置IPSec策略。
在IPSec策略中引用前面配置的ACL��、IPSec安全提議����。
ASA5520(config)# crypto map ipsec_map 10 match address ipsec
ASA5520(config)# crypto map ipsec_map 10 set peer 1.1.3.1
ASA5520(config)# crypto map ipsec_map 10 set transform-set myset
f. 在接口上應(yīng)用IPSec策略。
ASA5520(config)# crypto map ipsec_map interface out
g. 在接口上啟用IPSec策略��。
ASA5520(config)# crypto isakmp enable out
----結(jié)束
結(jié)果驗證
1. 配置完成后�,使用分支下的用戶Ping總部下的用戶。
2. 正常情況下�����,分支訪問總部的數(shù)據(jù)流將會觸發(fā)兩臺網(wǎng)關(guān)之間建立IPSec隧道�����。
此處在NGFW上查看IKE SA的建立情況��,可以看到IKE SA已經(jīng)建立成功�����。
<NGFW> display ike sa
15:53:30 2015/12/26
--------------------------------------------------------------------------------------------------
conn-id peer flag phase vpn
--------------------------------------------------------------------------------------------------
54 1.1.5.1 RD|ST|A v1:2 public
53 1.1.5.1 RD|ST|A v1:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A--ALONE
3. 使用display ipsec sa命令查看IPSec的建立情況��,可以看到IPSec SA也已建立成功��。
<NGFW> display ipsec sa
15:53:53 2015/12/26
===============================
Interface: Tunnel1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map1"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
connection id: 54
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 27m 23s
tunnel local : 1.1.3.1 tunnel remote: 1.1.5.1
flow source: 10.1.1.0/255.255.255.0 0/0
flow destination: 10.1.3.0/255.255.255.0 0/0
[inbound ESP SAs]
spi: 4231227848 (0xfc3369c8)
vpn: public said: 8 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/1957
max received sequence-number: 3
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 2527152779 (0x96a14a8b)
vpn: public said: 9 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
sa remaining key duration (kilobytes/sec): 4608000/1957
max sent sequence-number: 4
udp encapsulation used for nat traversal: N
Admin
2017-02-24 11:01:51
021-62279227
發(fā)送郵件
