NetTOOLSLib home page

GoНастройка IPSec туннеля между двумя сайтами на Cisco ASA 5505 с аутентификацией по ключу.

В данной статье, на базе типовой схемы подключения, описана настройка туннеля между двумя Cisco ASA 5505.



Настройка ASA-N1

Включение ISAKMP на интерфейсе outside:


ASA-N1(config)# isakmp enable outside



- Настройка политики ISAKMP:


ASA-N1(config)# isakmp policy 5
ASA-N1(config-isakmp-policy)# authentication pre-share
ASA-N1(config-isakmp-policy)# encryption 3des
ASA-N1(config-isakmp-policy)# hash sha
ASA-N1(config-isakmp-policy)# group 2



- Настройка туннельной группы


ASA-N1(config)# tunnel-group 10.2.0.2 type ipsec-l2l



- Настройка ключа безопасности:


ASA-N1(config)# tunnel-group 10.2.0.2 ipsec-attributes
ASA-N1(config-tunnel-ipsec)# pre-shared-key secretkey



secretkey - строка ключа безопасности, необходимо заменить на произвольный свой, при этом ключи на ASA-N1 и ASA-N2 должны быть одинаковыми.

- Настройка transform-set


ASA-N1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac



- Создание access листа для доступа в туннель:


ASA-N1(config)# access-list to_tunnel extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0



- Настройка crypto map:


ASA-N1(config)# crypto map ASA-N2_MAP 10 match address to_tunnel
ASA-N1(config)# crypto map ASA-N2_MAP 10 set peer 10.2.0.2
ASA-N1(config)# crypto map ASA-N2_MAP 10 set transform-set 3DES_SHA
ASA-N1(config)# crypto map ASA-N2_MAP 10 set reverse-route
ASA-N1(config)# crypto map ASA-N2_MAP interface outside




Настройка ASA-N2

Включение ISAKMP на интерфейсе outside:


ASA-N2(config)# isakmp enable outside



- Настройка политики ISAKMP:


ASA-N2(config)# isakmp policy 5
ASA-N2(config-isakmp-policy)# authentication pre-share
ASA-N2(config-isakmp-policy)# encryption 3des
ASA-N2(config-isakmp-policy)# hash sha
ASA-N2(config-isakmp-policy)# group 2



- Настройка туннельной группы


ASA-N2(config)# tunnel-group 10.1.0.2 type ipsec-l2l



- Настройка ключа безопасности:


ASA-N2(config)# tunnel-group 10.1.0.2 ipsec-attributes
ASA-N2(config-tunnel-ipsec)# pre-shared-key secretkey



secretkey - строка ключа безопасности, необходимо заменить на произвольный свой, при этом ключи на ASA-N1 и ASA-N2 должны быть одинаковыми.

- Настройка transform-set


ASA-N2(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac



- Создание access листа для доступа в туннель:


ASA-N2(config)# access-list to_tunnel extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0



- Настройка crypto map:


ASA-N2(config)# crypto map ASA-N1_MAP 10 match address to_tunnel
ASA-N2(config)# crypto map ASA-N1_MAP 10 set peer 10.1.0.2
ASA-N2(config)# crypto map ASA-N1_MAP 10 set transform-set 3DES_SHA
ASA-N2(config)# crypto map ASA-N1_MAP 10 set reverse-route
ASA-N2(config)# crypto map ASA-N1_MAP interface outside




Проверка туннеля

Для получения информации о туннелях используются команды:


ASA-N1#sh crypto isakmp sa



Пример ответа:


IKEv1 SAs:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 195.211.81.142
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE




ASA-N1#sh crypto ipsec sa



Пример ответа:


interface: outside
Crypto map tag: ASA-N1, seq num: 1, local addr: 10.1.0.2

access-list to_tunnel extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
current_peer: 10.2.0.2

#pkts encaps: 51239872, #pkts encrypt: 51239870, #pkts digest: 51239870
#pkts decaps: 36720754, #pkts decrypt: 36720754, #pkts verify: 36720754
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 51239872, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 10.1.0.2/0, remote crypto endpt.: 10.2.0.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 2A015DC8
current inbound spi : D797D373

inbound esp sas:
spi: 0xD797D373 (3617051507)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 12288, crypto-map: ASA-N1
sa timing: remaining key lifetime (kB/sec): (3892651/21118)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x2A015DC8 (704732616)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 12288, crypto-map: ASA-N1
sa timing: remaining key lifetime (kB/sec): (3872522/21118)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001




ASA-N1#sh vpn-sessiondb l2l



Пример ответа:


Session Type: LAN-to-LAN

Connection : 10.2.0.2
Index : 3 IP Addr : 10.2.0.2
Protocol : IKEv1 IPsec
Encryption : 3DES 3DES Hashing : SHA1 SHA1
Bytes Tx : 2348536279 Bytes Rx : 1780081249
Login Time : 19:52:43 UTC Sat Dec 22 2018
Duration : 2d 0h:07m:13s




ASA-N1#sh vpn-sessiondb detail l2l



Пример ответа:


Session Type: LAN-to-LAN

Connection : 10.2.0.2
Index : 3 IP Addr : 10.2.0.2
Protocol : IKEv1 IPsec
Encryption : 3DES 3DES Hashing : SHA1 SHA1
Bytes Tx : 2348536279 Bytes Rx : 1780081249
Login Time : 19:52:43 UTC Sat Dec 22 2018
Duration : 2d 0h:07m:13s




ASA-LM-DC# sh vpn-sessiondb detail l2l



Пример ответа:


Session Type: LAN-to-LAN Detailed

Connection :
Index : 3 IP Addr : 10.2.0.2
Protocol : IKEv1 IPsec
Encryption : 3DES 3DES Hashing : SHA1 SHA1
Bytes Tx : 2348604360 Bytes Rx : 1780124985
Login Time : 19:52:43 UTC Sat Dec 22 2018
Duration : 2d 0h:08m:16s
IKEv1 Tunnels: 1
IPsec Tunnels: 1

IKEv1:
Tunnel ID : 3.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : 3DES Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 59984 Seconds
D/H Group : 2
Filter Name :
IPv6 Filter :

IPsec:
Tunnel ID : 3.2
Local Addr : 192.168.100.0/255.255.255.0/0/0
Remote Addr : 192.168.200.0/255.255.255.0/0/0
Encryption : 3DES Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 20801 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4564846 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Bytes Tx : 2348605359 Bytes Rx : 1780125357
Pkts Tx : 51243288 Pkts Rx : 36724115

NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 173298 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :



Заключение

В статье приведен пример настройки IPSec туннеля на базе двух Cisco ASA 5505

Go


NetTOOLSLib home page
(online network tools and utilities)