В данной статье, на базе типовой схемы подключения, описана настройка туннеля между двумя Cisco ASA 5505.  Настройка ASA-N1 Включение ISAKMP на интерфейсе outside: ASA-N1(config)# isakmp enable outside - Настройка политики ISAKMP: ASA-N1(config)# isakmp policy 5 ASA-N1(config-isakmp-policy)# authentication pre-share ASA-N1(config-isakmp-policy)# encryption 3des ASA-N1(config-isakmp-policy)# hash sha ASA-N1(config-isakmp-policy)# group 2 - Настройка туннельной группы ASA-N1(config)# tunnel-group 10.2.0.2 type ipsec-l2l - Настройка ключа безопасности: ASA-N1(config)# tunnel-group 10.2.0.2 ipsec-attributes ASA-N1(config-tunnel-ipsec)# pre-shared-key secretkey secretkey - строка ключа безопасности, необходимо заменить на произвольный свой, при этом ключи на ASA-N1 и ASA-N2 должны быть одинаковыми. - Настройка transform-set ASA-N1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac - Создание access листа для доступа в туннель: ASA-N1(config)# access-list to_tunnel extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 - Настройка crypto map: ASA-N1(config)# crypto map ASA-N2_MAP 10 match address to_tunnel ASA-N1(config)# crypto map ASA-N2_MAP 10 set peer 10.2.0.2 ASA-N1(config)# crypto map ASA-N2_MAP 10 set transform-set 3DES_SHA ASA-N1(config)# crypto map ASA-N2_MAP 10 set reverse-route ASA-N1(config)# crypto map ASA-N2_MAP interface outside Настройка ASA-N2 Включение ISAKMP на интерфейсе outside: ASA-N2(config)# isakmp enable outside - Настройка политики ISAKMP: ASA-N2(config)# isakmp policy 5 ASA-N2(config-isakmp-policy)# authentication pre-share ASA-N2(config-isakmp-policy)# encryption 3des ASA-N2(config-isakmp-policy)# hash sha ASA-N2(config-isakmp-policy)# group 2 - Настройка туннельной группы ASA-N2(config)# tunnel-group 10.1.0.2 type ipsec-l2l - Настройка ключа безопасности: ASA-N2(config)# tunnel-group 10.1.0.2 ipsec-attributes ASA-N2(config-tunnel-ipsec)# pre-shared-key secretkey secretkey - строка ключа безопасности, необходимо заменить на произвольный свой, при этом ключи на ASA-N1 и ASA-N2 должны быть одинаковыми. - Настройка transform-set ASA-N2(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac - Создание access листа для доступа в туннель: ASA-N2(config)# access-list to_tunnel extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 - Настройка crypto map: ASA-N2(config)# crypto map ASA-N1_MAP 10 match address to_tunnel ASA-N2(config)# crypto map ASA-N1_MAP 10 set peer 10.1.0.2 ASA-N2(config)# crypto map ASA-N1_MAP 10 set transform-set 3DES_SHA ASA-N2(config)# crypto map ASA-N1_MAP 10 set reverse-route ASA-N2(config)# crypto map ASA-N1_MAP interface outside Проверка туннеля Для получения информации о туннелях используются команды: ASA-N1#sh crypto isakmp sa Пример ответа: IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 195.211.81.142 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ASA-N1#sh crypto ipsec sa Пример ответа: interface: outside Crypto map tag: ASA-N1, seq num: 1, local addr: 10.1.0.2 access-list to_tunnel extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0) current_peer: 10.2.0.2 #pkts encaps: 51239872, #pkts encrypt: 51239870, #pkts digest: 51239870 #pkts decaps: 36720754, #pkts decrypt: 36720754, #pkts verify: 36720754 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 51239872, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.1.0.2/0, remote crypto endpt.: 10.2.0.2/0 path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 2A015DC8 current inbound spi : D797D373 inbound esp sas: spi: 0xD797D373 (3617051507) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 12288, crypto-map: ASA-N1 sa timing: remaining key lifetime (kB/sec): (3892651/21118) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x2A015DC8 (704732616) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 12288, crypto-map: ASA-N1 sa timing: remaining key lifetime (kB/sec): (3872522/21118) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 ASA-N1#sh vpn-sessiondb l2l Пример ответа: Session Type: LAN-to-LAN Connection : 10.2.0.2 Index : 3 IP Addr : 10.2.0.2 Protocol : IKEv1 IPsec Encryption : 3DES 3DES Hashing : SHA1 SHA1 Bytes Tx : 2348536279 Bytes Rx : 1780081249 Login Time : 19:52:43 UTC Sat Dec 22 2018 Duration : 2d 0h:07m:13s ASA-N1#sh vpn-sessiondb detail l2l Пример ответа: Session Type: LAN-to-LAN Connection : 10.2.0.2 Index : 3 IP Addr : 10.2.0.2 Protocol : IKEv1 IPsec Encryption : 3DES 3DES Hashing : SHA1 SHA1 Bytes Tx : 2348536279 Bytes Rx : 1780081249 Login Time : 19:52:43 UTC Sat Dec 22 2018 Duration : 2d 0h:07m:13s ASA-LM-DC# sh vpn-sessiondb detail l2l Пример ответа: Session Type: LAN-to-LAN Detailed Connection : Index : 3 IP Addr : 10.2.0.2 Protocol : IKEv1 IPsec Encryption : 3DES 3DES Hashing : SHA1 SHA1 Bytes Tx : 2348604360 Bytes Rx : 1780124985 Login Time : 19:52:43 UTC Sat Dec 22 2018 Duration : 2d 0h:08m:16s IKEv1 Tunnels: 1 IPsec Tunnels: 1 IKEv1: Tunnel ID : 3.1 UDP Src Port : 500 UDP Dst Port : 500 IKE Neg Mode : Main Auth Mode : preSharedKeys Encryption : 3DES Hashing : SHA1 Rekey Int (T): 86400 Seconds Rekey Left(T): 59984 Seconds D/H Group : 2 Filter Name : IPv6 Filter : IPsec: Tunnel ID : 3.2 Local Addr : 192.168.100.0/255.255.255.0/0/0 Remote Addr : 192.168.200.0/255.255.255.0/0/0 Encryption : 3DES Hashing : SHA1 Encapsulation: Tunnel Rekey Int (T): 28800 Seconds Rekey Left(T): 20801 Seconds Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4564846 K-Bytes Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Bytes Tx : 2348605359 Bytes Rx : 1780125357 Pkts Tx : 51243288 Pkts Rx : 36724115 NAC: Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds SQ Int (T) : 0 Seconds EoU Age(T) : 173298 Seconds Hold Left (T): 0 Seconds Posture Token: Redirect URL : Заключение В статье приведен пример настройки IPSec туннеля на базе двух Cisco ASA 5505 
|