root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

cisco asa subinterface vpn site to site with Router


- Bài lab này giống với bài [Lab 16.4] Cisco asa site to site vpn multiple subnets
- Nhưng ở đây mình chia sub-interface cho ASA để tiết kiệm cổng, giảm chi phí :)


I. Sơ đồ lab cisco asa subinterface vpn site to site with Router


1. Mô hình cisco asa subinterface vpn site to site with Router

cisco asa subinterface vpn site to site with Router (1)


2. Yêu cầu cisco asa subinterface vpn site to site with Router
- Cấu hình để VPN site-to-site giữa Router và Firewall để Pc trong các mạng LAN giữa Firewall và Router có thể truy cập lẫn nhau
- Pc trong các LAN có thể đi internet bình thường (nat exemption)
- sơ đồ IP


cisco asa subinterface vpn site to site with Router (2)


II. Cấu hình IP và định tuyến
1. Cấu hình Router ISP
- Cấu hình IP, NAT


Code:
ISP(config)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown

SP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f1/0

ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside


2. Cấu hình Router R2
- Cấu hình IP và default-route về ISP


Code:
R2(config)#int f0/0
R2(config-if)#ip address 152.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#int f0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config)#ip route 0.0.0.0 0.0.0.0 152.2.2.254


3. Cấu hình Cisco ASA
- Cấu hình IP, sub-interface, nameif, inspection icmp và đinh tuyến về ISP.


Code:
]ASA2(config-if)# int g0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 151.1.1.1 255.255.255.0
ASA2(config-if)# no shutdown


ciscoasa(config-if)# int g1.1
ciscoasa(config-subif)# vlan 11
ciscoasa(config-subif)# nameif inside11
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.11.1 255.255.255.0

ciscoasa(config-subif)# int g1.2
ciscoasa(config-subif)# vlan 12
ciscoasa(config-subif)# nameif inside12
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.12.1 255.255.255.0

ciscoasa(config-subif)# int g1.3
ciscoasa(config-subif)# vlan 13
ciscoasa(config-subif)# nameif inside13
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.13.1 255.255.255.0

ciscoasa(config-subif)# int g1.4
ciscoasa(config-subif)# vlan 14
ciscoasa(config-subif)# nameif inside14
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.14.1 255.255.255.0

ASA(config)#fixup protocol icmp
ASA(config)# route outside 0 0 151.1.1.254


4. Cấu hình Switch
- Cấu hình port trunk và gán các VLAN cho các interface trên SW

Code:
SW#vlan database
SW(vlan)#vlan 11
SW(vlan)#vlan 12
SW(vlan)#vlan 13
SW(vlan)#vlan 14

SW(config)#int f1/15
SW(config-if)#switchport mode trunk
SW(config-if)#int f1/14
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 14
SW(config-if)#int f1/13
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 13
SW(config-if)#int f1/12
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 12
SW(config-if)#int f1/11
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 11

III. Cấu hình IPSEC VPN và NAT


1. IPSEC-VPN và NAT trên Router R2
- Cấu hình IPSEC-VPN site-to-site trên R2


Code:
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400

R2(config)#crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac

R2(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 any

R2(config)#crypto map ASA-VPN 10 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set peer 151.1.1.1
R2(config-crypto-map)#set transform-set SVUIT

R2(config)#int f0/0
R2(config-if)#crypto map ASA-VPN

R2(config)#crypto isakmp key 0 svuit.com address 151.1.1.1


- Cấu hình PAT để PC ra internet và cấu hình ACL bypass NAT để PC có thể VPN

Code:
R2(config)#ip access-list extended NAT
// Câu này sẽ deny các traffic từ trong LAN đi đến vùng inside của ASA (chính là traffic VPN)

Code:
R2(config)# deny ip any 192.168.10.0 0.0.0.255
R2(config)# deny ip any 192.168.12.0 0.0.0.255
R2(config)# deny ip any 192.168.13.0 0.0.0.255
R2(config)# deny ip any 192.168.14.0 0.0.0.255

// còn lại thì cho phép tất cả đều được NAT

Code:
R2(config-ext-nacl)#permit ip any any


2. Cấu hình VPN Site to site Cisco ASA


- Cấu hình IP-SEC VPN site-to-site trên ASA với peer là R2 (152.2.2.2)


Code:
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

//Bước 1: Tạo Policy SVUIT

Code:
ASA(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac

//Bước 2: ACL cho phép traffic nào được vào hầm


Code:
ASA(config)# object-group network INSIDE-ASA
ASA(config-network-object-group)# network-object 192.168.10.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.12.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.13.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.14.0 255.255.255.0

ASA(config-network-object-group)# object-group network INSIDE-R2
ASA(config-network-object-group)# network-object 10.2.2.0 255.255.255.0

ASA(config)# access-list VPN-TRAFFIC permit ip object-group INSIDE-ASA
object-group INSIDE-R2

//Bước 3: cấu hình crypto map

Code:
ASA(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA(config)# crypto map ASA-VPN 10 set peer 152.2.2.2
ASA(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT

//Bước 4: apply crypto map và IKEV1 vào interface

Code:
ASA(config)# crypto map ASA-VPN interface outside
ASA(config)# crypto ikev1 enable outside

// Bước 5: cấu hình tunnel-group

Code:
ASA(config)# tunnel-group 152.2.2.2 type ipsec-l2l
ASA(config)# tunnel-group 152.2.2.2 ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA(config-tunnel-ipsec)# exit


- Thực hiện PAT để PC trong inside ra internet và Nat-exemption để by pass NAT khi VPN. Ở đây nó có số 1 và số 2 để bạn dễ hình dùng hi traffic đi qua bảng NAT nó sẽ kiểm tra dòng số 1 nếu ko phải là VPN thì nó mới chạy xuống dòng 2 thực hiện NAT overload.

//----------- PAT ----
Code:
ASA(config)#nat (any,outside) 2 source dynamic INSIDE-ASA interface

//--- NAT exemption -------------
Code:
ASA(config)#nat (any,outside) 1 source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2

 
Last edited:

IV. Kiểm tra Lab cisco asa subinterface vpn site to site with Router


- Kiểm tra các PC trong các LAN ping được lẫn nhau qua đường VPN site-to-site
- PC trong inside ASA ping được ra internet và PC trong LAN của Router R2.

cisco asa subinterface vpn site to site with Router (3)

- PC trong LAN của Router R2 cũng đi được internet và ping được PC trong inside của Cisco ASA.

cisco asa subinterface vpn site to site with Router (4)


- Kiểm tra interface
ciscoasa(config)# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 151.1.1.1 YES manual up up
GigabitEthernet1 unassigned YES unset up up
GigabitEthernet1.1 192.168.11.1 YES manual up up
GigabitEthernet1.2 192.168.12.1 YES manual up up
GigabitEthernet1.3 192.168.13.1 YES manual up up
GigabitEthernet1.4 192.168.14.1 YES manual up up


- Show VLAN trên SW
SW#sh vlan-switch


VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10
11 VLAN0011 active Fa1/11
12 VLAN0012 active Fa1/12
13 VLAN0013 active Fa1/13
14 VLAN0014 active Fa1/14
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup


VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
11 enet 100011 1500 - - - - - 0 0
12 enet 100012 1500 - - - - - 0 0
13 enet 100013 1500 - - - - - 0 0
14 enet 100014 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003


VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0


- Kiểm tra port trunk trên SW
SW#sh int trunk


Port Mode Encapsulation Status Native vlan
Fa1/15 on 802.1q trunking 1


Port Vlans allowed on trunk
Fa1/15 1-4094


Port Vlans allowed and active in management domain
Fa1/15 1,11-14


Port Vlans in spanning tree forwarding state and not pruned
Fa1/15 1,11-14

- Kiểm tra crypto ikev1
ciscoasa(config)# sh crypto ikev1 sa


IKEv1 SAs:


Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1


1 IKE Peer: 152.2.2.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE


- Kiểm tra IPSEC
ciscoasa(config)# sh crypto ipsec sa
interface: outside
Crypto map tag: ASA-VPN, seq num: 10, local addr: 151.1.1.1


access-list VPN-TRAFFIC extended permit ip 192.168.11.0 255.255.255.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 152.2.2.2


#pkts encaps: 86, #pkts encrypt: 86, #pkts digest: 86
#pkts decaps: 70, #pkts decrypt: 70, #pkts verify: 70
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 86, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0


local crypto endpt.: 151.1.1.1/0, remote crypto endpt.: 152.2.2.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 3E4E941A
current inbound spi : DA2C765D


inbound esp sas:
spi: 0xDA2C765D (3660346973)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000FFFFF
outbound esp sas:
spi: 0x3E4E941A (1045337114)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

- Kiểm tra bảng NAT
ciscoasa(config)# sh nat
Manual NAT Policies (Section 1)
1 (any) to (outside) source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2
translate_hits = 3, untranslate_hits = 4
2 (any) to (outside) source dynamic INSIDE-ASA interface
translate_hits = 5, untranslate_hits = 11


- Kiểm tra tương tự trên PC 192.168.12.12, 192.168.13.13 và 192.168.14.14

cisco asa subinterface vpn site to site with Router (5)

cisco asa subinterface vpn site to site with Router (6)


cisco asa subinterface vpn site to site with Router (7)

 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu