root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

IPSEC site to site vpn cisco asa 8.4


- Bài lab IPSEC site to site vpn cisco asa 8.4 giống với bài lab 16.1, tại sao mình lại làm thêm bài này? Bởi vì Cisco đã thay đổi 1 vài thứ trong VPN trên ASA 8.3 trở về trước và các phiên bản ASA 8.3 và mới hơn.
- Nhưng về cơ bản các bước cấu hình thì vẫn giống nhau nhé, nếu bạn cấu hình được trên ASA 8.2 thì chắc chắn bạn sẽ làm được trên ASA 8.4 dễ như ăn kẹo


I. Mô hình và yêu cầu lab cấu hình IPSEC site to site vpn cisco asa 8.4


1. Mô hình Lab IPSEC site to site vpn cisco asa 8.4

IPSEC site to site vpn cisco asa 8.4(1)



2. yêu cầu Lab IPSEC site to site vpn cisco asa 8.4


- Cấu hình VPN site-to-site để client trong inside của ASA1 và ASA2 có thể giao tiếp được với nhau.
- Sơ đồ IP Lab IPSEC site to site vpn cisco asa 8.4

IPSEC site to site vpn cisco asa 8.4(2)


II. Triển khai Lab IPSEC site to site vpn cisco asa 8.4


1. Cấu hình IP và trỏ default-route trên Cisco ASA 8.4
- Trên Cisco ASA1
Code:
ASA1(config-if)# int e0/0
ASA1(config-if)# nameif outside
ASA1(config-if)# ip address 150.1.1.1 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# int e0/1
ASA1(config-if)# nameif inside
ASA1(config-if)# ip address 192.168.10.1 255.255.255.0
ASA1(config-if)# no shutdown

ASA1(config)# route outside 0 0 150.1.1.2

- Trên Cisco ASA2
Code:
ASA2(config-if)# int e0/0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 150.1.1.2 255.255.255.0
ASA2(config-if)# no shutdown
ASA2(config-if)# int e0/1
ASA2(config-if)# nameif inside
ASA2(config-if)# ip address 10.2.2.1 255.255.255.0
ASA2(config-if)# no shutdown

ASA2(config)# route outside 0 0 150.1.1.1


2. Cấu hình IPSEC VPN trên Cisco ASA 8.4


2.1. phase 1: Cấu hình các policy trong IKV
- Cấu hình các chính sách cho phase 1. Bạn để ý nhé ở bản ASA 8.2 thì nó dùng ISAKMP nhưng sang ASA 8.4 nó dùng IKEV1 hoặc IKEV2.

Code:
ASA1(config)# crypto ikev1 policy 10
ASA1(config-ikev1-policy)# authentication pre-share
ASA1(config-ikev1-policy)# encryption 3des
ASA1(config-ikev1-policy)# hash md5
ASA1(config-ikev1-policy)# group 2
ASA1(config-ikev1-policy)# lifetime 86400


2.2 Phase 2: Cấu hình IPSEC trên Cisco ASA 8.4
- Bước 1: Tạo policy SVUIT cho quá trình đóng gói dữ liệu. Nó sẽ quy đinh dữ liệu chạy trong đường hầm sẽ được bao bọc bởi cơ chế mã hóa gì. Bước này tương tự như ASA 8.2 nhưng nó dung IKEV1 thay vì ISAKMP như ASA 8.2
Code:
ASA1(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac


- Bước 2: Tạo ACL quy định traffic chạy từ đâu đến đâu thì được chạy vào đường hầm. Tương tự như ASA 8.2 thôi, nhưng ASA 8.4 màu mè hơn 1 tý là ACL nó có thêm cái Object-group.

Code:
ASA1(config-if)# object network INSIDE-ASA1
ASA1(config-network-object)# subnet 192.168.10.0 255.255.255.0

ASA1(config)# object network INSIDE-ASA2
ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0

ASA1(config)# access-list VPN-TRAFFIC permit ip object INSIDE-ASA1 object INSIDE-ASA2


- Bước 3: cấu hình cypto map trên Cisco ASA 8.4

Code:
ASA1(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA1(config)# crypto map ASA-VPN 10 set peer 150.1.1.2
ASA1(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT


- Bước 4: apply Cypto map và bật ISAKMP vào interface kết nối IPSEC VPN trên Cisco ASA 8.4

Code:
ASA1(config)# crypto map ASA-VPN interface outside
ASA1(config)# crypto ikev1 enable outside


- Bước 5: cấu hình tunnel-group trên Cisco ASA 8.4

Code:
ASA1(config)# tunnel-group 150.1.1.2 type ipsec-l2l
ASA1(config)# tunnel-group 150.1.1.2 ipsec-attributes
ASA1(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA1(config-tunnel-ipsec)# exit

- Xong con Cisco ASA1.

3. Cấu hình trên Cisco ASA2
- Cấu hình hoàn toàn tương tự chỉ có 1 vài chỗ cần chỉnh

Code:
ASA2(config)# crypto ikev1 policy 10
ASA2(config-ikev1-policy)# authentication pre-share
ASA2(config-ikev1-policy)# encryption 3des
ASA2(config-ikev1-policy)# hash md5
ASA2(config-ikev1-policy)# group 2
ASA2(config-ikev1-policy)# lifetime 86400

ASA2(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac

ASA2(config)# access-list VPN-TRAFFIC permit ip object INSIDE-ASA2 object INSIDE-ASA1

ASA2(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA2(config)# crypto map ASA-VPN 10 set peer 150.1.1.1
ASA2(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT

ASA2(config)# crypto map ASA-VPN interface outside
ASA2(config)# crypto ikev1 enable outside

ASA2(config)# tunnel-group 150.1.1.1 type ipsec-l2l
ASA2(config)# tunnel-group 150.1.1.1 ipsec-attributes
ASA2(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA2(config-tunnel-ipsec)# exit



4. Kiểm tra lab IPSEC site to site vpn cisco asa 8.4


- PC2 ping PC1 thành công

IPSEC site to site vpn cisco asa 8.4(3)

- Show trạng thái IKEV1 trên Cisco ASA 8.4
ASA1(config)# sh crypto ikev1 sa

IKEv1 SAs:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 150.1.1.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE


- Show trạng thái IPSEC trên Cisco ASA 8.4
ASA1(config)# sh crypto ipsec sa
interface: outside
Crypto map tag: ASA1-VPN, seq num: 10, local addr: 150.1.1.1

access-list VPN-TRAFFIC extended permit ip 192.168.10.0 255.255.255.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 150.1.1.2

#pkts encaps: 364, #pkts encrypt: 364, #pkts digest: 364
#pkts decaps: 359, #pkts decrypt: 359, #pkts verify: 359
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 364, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 150.1.1.1/0, remote crypto endpt.: 150.1.1.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 8B9B10D1
current inbound spi : D59340F7

inbound esp sas:
spi: 0xD59340F7 (3583197431)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA1-VPN
sa timing: remaining key lifetime (kB/sec): (3914978/26612)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x8B9B10D1 (2342195409)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA1-VPN
sa timing: remaining key lifetime (kB/sec): (3914978/26611)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001


- Debug IKEV1 trên Cisco ASA 8.4
  • Với console: debug crypto ikev1 10
  • Với telnet: cần thêm câu lệnh "terminal monitor"
ASA1(config)# debug crypto ikev1 10


Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-a live of type DPD R-U-THERE (seq number 0xcd374b7)
Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:36:22 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=db4420a1) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:22 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=b6002d5a) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:36:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374b7)
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-alive of type DPD R-U-THERE (seq number 0xcd374b8)
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:36:42 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=8c7d1c4c) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:42 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=837142e5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:36:42 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374b8)
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-alive of type DPD R-U-THERE (seq number 0xcd374b9)
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:36:52 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=c9c903e0) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:52 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=3e5a1778) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:36:52 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374b9)
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-alive of type DPD R-U-THERE (seq number 0xcd374ba)
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:37:02 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=af5da95a) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:02 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=aa8b015e) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:37:02 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374ba)
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-alive of type DPD R-U-THERE (seq number 0xcd374bb)
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:37:22 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=e254375) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:22 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=efe776b0) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:37:22 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374bb)
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Sending keep-alive of type DPD R-U-THERE (seq number 0xcd374bc)
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing blank hash payload
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, constructing qm hash payload
Jun 27 10:37:32 [IKEv1]IP = 150.1.1.2, IKE_DECODE SENDING Message (msgid=973fbb06) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:32 [IKEv1]IP = 150.1.1.2, IKE_DECODE RECEIVED Message (msgid=97071da) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing hash payload
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, processing notify payload
Jun 27 10:37:32 [IKEv1 DEBUG]Group = 150.1.1.2, IP = 150.1.1.2, Received keep-alive of type DPD R-U-THERE-ACK (seq number 0xcd374bc)
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu