kmp hash sha 设置完整性校验算法 ASA-VPN config-isakmp group 2 指定DH组即密钥长度 ASA-VPN config-isakmp lifetime 10000 设置第一阶段的生存时间 ASA-VPN config crypto isakmp key cisco address 202.1.2.1 设置认证用的预共享密钥并指定此密钥针对的对端预共享密钥和以上参数两个VPN设备要一样对端相互指ASA-VPN的对端就是R5-VPN即指它的外网公有地址。
ASA-VPN configcrypto isakmp enable Outside 在外部接口开启isakmp功能 3.配置第二阶段策略 ASA-VPN config access-list 120 permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 设置要进行VPN保护的私网通信流量也是触发VPN连接的流量 ASA-VPN config crypto ipsec transform-set vpn esp-3des esp-sha-hmac 设置第二阶段的安全协议esp加密方式3des和认证/完整性验证方式sha-hmac 此参数两端VPN设备都要一样。
4.配置安全策略关联 ASA-VPN config crypto map vpn_map 10 ipsec-isakmp 创建安全策略关联 ASA-VPN config crypto map vpn_map 10 match address 120 关联需要保护的流量 ASA-VPN config crypto map vpn_map 10 set peer 202.1.2.1 指定建立VPN的对象 ASA-VPN config crypto map vpn_map 10 set transform-set vpn 指定第二阶段策略 5.应用安全策略关联 ASA-VPN config crypto map vpn_map interface Outside 在外部接口上应用安全策略关联 五在R3-NAT上做PAT 1. 定义PAT转换的流量列表 R3-NAT config access-list 1 perimt 172.16.1.0 0.0.0.255 定义的给VPN遂道的PAT因为这时VPN遂道lt新的IP头部gt源地址封装的是172.16.1.1lt目的地址是202.1.2.1这个目的地址就不用管了已经变成公有IP了gt所以要将VPN遂道协议lt新IP头部里的gt源IP172.16.1.1转化成R3-NAT的外部接口IP202.1.1.1这样VPN遂道协议新的IP报文才能正常地被传送和反回 R3-NAT config access-list 1 perimt 192.168.1.0 0.0.0.255 定义的转化内部私网地址访问Internet的流量这个流量是不走VPN遂道的流量 2. 将流量ACL关联外部接口 R3-NAT config ip nat inside source list 1 interface fastethernet 2/0 overload 将地址池与R3-NAT的外部接口梆定 3. 应用NAT于内/外部接口 R3-NAT config interface fastethernet 0/0 R3-NAT config-if ip nat inside 在连接内部网络的接口的入方向上应用PAT R3-NAT config interface fastethernet 2/0 R3-NAT config-if ip nat outside 在连接外部网络的接口的出方向上应用PAT 六测试基于PAT的两种流量一种是走VPN遂道另一种是到Internet 1. 测试走VPN遂道的流量穿越PAT a. 首先从ASA-VPN向R5-VPN发起VPN连接即在R1上ping VM-PC的IP地址发现可以通表明VPN遂道可以建立并且通信正常 b. 再从R5-VPN向ASA-VPN发起VPN连接即清掉上面的VPN连接在接口上no掉map再应用再在VM-PC上ping R1发现不通在R3-NAT通过debug ip packet可以看到有来自于R5-VPN202.1.2.1的包过来但没有回应。
c. 分析上述过程 为什么从ASA-VPN向R5-VPN发起VPN连接没问题可以成功而从R5-VPN向ASA-VPN发起的VPN连接出问题了不能成功呢 因为当ASA-VPN向R5-VPN发起VPN连接时ASA-VPN的VPN协商报文UDP 500端口在出R3-NAT时做了PAT转换而转换后的IP地址正是R5-VPN指定的peer202.1.1.1地址而前面设置的安全协议又是ESP它不对VPN遂道产生的新的IP报文进行校验而其它的参数均一样并且在出R3-NAT时PAT转换的信息会被记录下来这样出去的包就可以沿源路反回到ASA-VPN上了所以VPN遂道的协议与数据的安全通信都可以正常进行而当R5-VPN向ASA-VPN发起VPN连接时由于peer对端指的是R3-NAT的202.1.1.1所以遂道建立的报文和数据安全通信的报文都会发给202.1.1.1这个地址但由于R3-NAT没有做IPSEC VPN而且又没有记录到真正做了IPSEC VPN策略的ASA-VPN的转换条目因为.
上一篇:
毕业设计(论文)
下一篇:
成本管理背景指导