VPN [Lab 16.5] cisco asa subinterface vpn site to site with Router

root · 10/07/2014

cisco asa subinterface vpn site to site with Router

- Bài lab này giống với bài [Lab 16.4] Cisco asa site to site vpn multiple subnets
- Nhưng ở đây mình chia sub-interface cho ASA để tiết kiệm cổng, giảm chi phí

I. Sơ đồ lab cisco asa subinterface vpn site to site with Router

1. Mô hình cisco asa subinterface vpn site to site with Router

2. Yêu cầu cisco asa subinterface vpn site to site with Router
- Cấu hình để VPN site-to-site giữa Router và Firewall để Pc trong các mạng LAN giữa Firewall và Router có thể truy cập lẫn nhau
- Pc trong các LAN có thể đi internet bình thường (nat exemption)
- sơ đồ IP

cisco asa subinterface vpn site to site with Router (2)

II. Cấu hình IP và định tuyến
1. Cấu hình Router ISP
- Cấu hình IP, NAT

Mã:

ISP(config)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown

SP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f1/0

ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside

2. Cấu hình Router R2
- Cấu hình IP và default-route về ISP

Mã:

R2(config)#int f0/0
R2(config-if)#ip address 152.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#int f0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config)#ip route 0.0.0.0 0.0.0.0 152.2.2.254

3. Cấu hình Cisco ASA
- Cấu hình IP, sub-interface, nameif, inspection icmp và đinh tuyến về ISP.

Mã:

]ASA2(config-if)# int g0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip address 151.1.1.1 255.255.255.0
ASA2(config-if)# no shutdown


ciscoasa(config-if)# int g1.1
ciscoasa(config-subif)# vlan 11
ciscoasa(config-subif)# nameif inside11
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.11.1 255.255.255.0

ciscoasa(config-subif)# int g1.2
ciscoasa(config-subif)# vlan 12
ciscoasa(config-subif)# nameif inside12
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.12.1 255.255.255.0

ciscoasa(config-subif)# int g1.3
ciscoasa(config-subif)# vlan 13
ciscoasa(config-subif)# nameif inside13
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.13.1 255.255.255.0

ciscoasa(config-subif)# int g1.4
ciscoasa(config-subif)# vlan 14
ciscoasa(config-subif)# nameif inside14
ciscoasa(config-subif)# security-level 100
ciscoasa(config-subif)# ip address 192.168.14.1 255.255.255.0

ASA(config)#fixup protocol icmp
ASA(config)# route outside 0 0 151.1.1.254

4. Cấu hình Switch
- Cấu hình port trunk và gán các VLAN cho các interface trên SW

Mã:

SW#vlan database
SW(vlan)#vlan 11
SW(vlan)#vlan 12
SW(vlan)#vlan 13
SW(vlan)#vlan 14

SW(config)#int f1/15
SW(config-if)#switchport mode trunk
SW(config-if)#int f1/14
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 14
SW(config-if)#int f1/13
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 13
SW(config-if)#int f1/12
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 12
SW(config-if)#int f1/11
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 11

III. Cấu hình IPSEC VPN và NAT

1. IPSEC-VPN và NAT trên Router R2
- Cấu hình IPSEC-VPN site-to-site trên R2

Mã:

R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400

R2(config)#crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac

R2(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 any

R2(config)#crypto map ASA-VPN 10 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set peer 151.1.1.1
R2(config-crypto-map)#set transform-set SVUIT

R2(config)#int f0/0
R2(config-if)#crypto map ASA-VPN

R2(config)#crypto isakmp key 0 svuit.com address 151.1.1.1

- Cấu hình PAT để PC ra internet và cấu hình ACL bypass NAT để PC có thể VPN

Mã:

R2(config)#ip access-list extended NAT

// Câu này sẽ deny các traffic từ trong LAN đi đến vùng inside của ASA (chính là traffic VPN)

Mã:

R2(config)# deny ip any 192.168.10.0 0.0.0.255
R2(config)# deny ip any 192.168.12.0 0.0.0.255
R2(config)# deny ip any 192.168.13.0 0.0.0.255
R2(config)# deny ip any 192.168.14.0 0.0.0.255

// còn lại thì cho phép tất cả đều được NAT

Mã:

R2(config-ext-nacl)#permit ip any any

2. Cấu hình VPN Site to site Cisco ASA

- Cấu hình IP-SEC VPN site-to-site trên ASA với peer là R2 (152.2.2.2)

Mã:

ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

//Bước 1: Tạo Policy SVUIT

Mã:

ASA(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac

//Bước 2: ACL cho phép traffic nào được vào hầm

Mã:

ASA(config)# object-group network INSIDE-ASA
ASA(config-network-object-group)# network-object 192.168.10.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.12.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.13.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.14.0 255.255.255.0

ASA(config-network-object-group)# object-group network INSIDE-R2
ASA(config-network-object-group)# network-object 10.2.2.0 255.255.255.0

ASA(config)# access-list VPN-TRAFFIC permit ip object-group INSIDE-ASA

object-group INSIDE-R2

//Bước 3: cấu hình crypto map

Mã:

ASA(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA(config)# crypto map ASA-VPN 10 set peer 152.2.2.2
ASA(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT

//Bước 4: apply crypto map và IKEV1 vào interface

Mã:

ASA(config)# crypto map ASA-VPN interface outside
ASA(config)# crypto ikev1 enable outside

// Bước 5: cấu hình tunnel-group

Mã:

ASA(config)# tunnel-group 152.2.2.2 type ipsec-l2l
ASA(config)# tunnel-group 152.2.2.2 ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA(config-tunnel-ipsec)# exit

- Thực hiện PAT để PC trong inside ra internet và Nat-exemption để by pass NAT khi VPN. Ở đây nó có số 1 và số 2 để bạn dễ hình dùng hi traffic đi qua bảng NAT nó sẽ kiểm tra dòng số 1 nếu ko phải là VPN thì nó mới chạy xuống dòng 2 thực hiện NAT overload.

//----------- PAT ----

Mã:

ASA(config)#nat (any,outside) 2 source dynamic INSIDE-ASA interface

//--- NAT exemption -------------

Mã:

ASA(config)#nat (any,outside) 1 source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2

root · 10/07/2014

IV. Kiểm tra Lab cisco asa subinterface vpn site to site with Router

- Kiểm tra các PC trong các LAN ping được lẫn nhau qua đường VPN site-to-site
- PC trong inside ASA ping được ra internet và PC trong LAN của Router R2.

cisco asa subinterface vpn site to site with Router (3)

- PC trong LAN của Router R2 cũng đi được internet và ping được PC trong inside của Cisco ASA.

cisco asa subinterface vpn site to site with Router (4)

- Kiểm tra interface

ciscoasa(config)# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 151.1.1.1 YES manual up up
GigabitEthernet1 unassigned YES unset up up
GigabitEthernet1.1 192.168.11.1 YES manual up up
GigabitEthernet1.2 192.168.12.1 YES manual up up
GigabitEthernet1.3 192.168.13.1 YES manual up up
GigabitEthernet1.4 192.168.14.1 YES manual up up

- Show VLAN trên SW

SW#sh vlan-switch

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10
11 VLAN0011 active Fa1/11
12 VLAN0012 active Fa1/12
13 VLAN0013 active Fa1/13
14 VLAN0014 active Fa1/14
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
11 enet 100011 1500 - - - - - 0 0
12 enet 100012 1500 - - - - - 0 0
13 enet 100013 1500 - - - - - 0 0
14 enet 100014 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0

- Kiểm tra port trunk trên SW

SW#sh int trunk

Port Mode Encapsulation Status Native vlan
Fa1/15 on 802.1q trunking 1

Port Vlans allowed on trunk
Fa1/15 1-4094

Port Vlans allowed and active in management domain
Fa1/15 1,11-14

Port Vlans in spanning tree forwarding state and not pruned
Fa1/15 1,11-14

- Kiểm tra crypto ikev1

ciscoasa(config)# sh crypto ikev1 sa

IKEv1 SAs:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 152.2.2.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE

- Kiểm tra IPSEC

ciscoasa(config)# sh crypto ipsec sa
interface: outside
Crypto map tag: ASA-VPN, seq num: 10, local addr: 151.1.1.1

access-list VPN-TRAFFIC extended permit ip 192.168.11.0 255.255.255.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 152.2.2.2

#pkts encaps: 86, #pkts encrypt: 86, #pkts digest: 86
#pkts decaps: 70, #pkts decrypt: 70, #pkts verify: 70
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 86, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 151.1.1.1/0, remote crypto endpt.: 152.2.2.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 3E4E941A
current inbound spi : DA2C765D

inbound esp sas:
spi: 0xDA2C765D (3660346973)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000FFFFF
outbound esp sas:
spi: 0x3E4E941A (1045337114)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: ASA-VPN
sa timing: remaining key lifetime (kB/sec): (4373998/2124)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

- Kiểm tra bảng NAT

ciscoasa(config)# sh nat
Manual NAT Policies (Section 1)
1 (any) to (outside) source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2
translate_hits = 3, untranslate_hits = 4
2 (any) to (outside) source dynamic INSIDE-ASA interface
translate_hits = 5, untranslate_hits = 11

- Kiểm tra tương tự trên PC 192.168.12.12, 192.168.13.13 và 192.168.14.14

cisco asa subinterface vpn site to site with Router (5)

cisco asa subinterface vpn site to site with Router (6)

cisco asa subinterface vpn site to site with Router (7)

VPN [Lab 16.5] cisco asa subinterface vpn site to site with Router

root

Specialist

cisco asa subinterface vpn site to site with Router

I. Sơ đồ lab cisco asa subinterface vpn site to site with Router

III. Cấu hình IPSEC VPN và NAT

2. Cấu hình VPN Site to site Cisco ASA

root

Specialist

IV. Kiểm tra Lab cisco asa subinterface vpn site to site with Router