EdgeRouter - Site-to-Site IPsec VPN to Cisco ASA
概述
通过本章,读者可以学习到如何使用一台 Edgerouter 和一台 cisco ASA 进行 Site-to-Site IPsec VPN 的建立。
注意事项与要求:用于所有 EdgeRouter 型号的最新 EdgeOS 固件。需要了解命令行界面(CLI)和基本的网络知识。
本文中使用的设备:
- EdgeRouter-4(ER-4)
- 思科 ASA
目录
常见问题
1.可以在 EdgeOS 上配置哪些站点到站点的 IPsec VPN 类型?
可以在 EdgeOS 上配置以下 IPsec VPN 类型:
- 基于策略的
- 基于路线(VTI)
- GRE over IPsec
2.阶段1(IKE)和阶段2(ESP)的可用加密和散列选项(安全关联/ SA)有哪些?
加密
- AES128
- AES256
- AES128GCM128
- AES256GCM128
- 3DES
哈希
- MD5
- SHA1
- SHA2-256
- SHA2-384
- SHA2-512
网络拓扑
网络拓扑如下所示,EdgeRouters 上使用了以下接口:
EdgeRouter
- eth0(WAN) - 203.0.113.1
- eth1(LAN) - 192.168.1.1/24
思科 ASA
- gi0 / 0(WAN) - 192.0.2.1
- gi0 / 1(LAN) - 172.16.1.1/24
基于路由的 VPN
出于本文的目,我们假设两边的路由和接口已经配置完成,并且已经测试了可访问性。
CLI: 访问 EdgeRouter 上的命令行界面(CLI)。您可以使用 GUI 中的 CLI 按钮或使用 PuTTY 等程序执行此操作。
1.进入配置模式。
configure
2.启用 auto-firewall-nat-exclude 功能,该功能可在防火墙中自动创建 IPsec 防火墙/ NAT 策略
set vpn ipsec auto-firewall-nat-exclude enable
3.创建 IKE /阶段 1(P1)安全关联(SA)。
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 5
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
4.创建 ESP /阶段 2(P2)SA 并禁用完全向前保密(PFS)。
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 pfs disable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
5.定义远程对等地址(将<secret>替换为所需的密码)。
set vpn ipsec site-to-site peer 192.0.2.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 192.0.2.1 authentication pre-shared-secret <secret>
set vpn ipsec site-to-site peer 192.0.2.1 description ipsec
set vpn ipsec site-to-site peer 192.0.2.1 local-address 203.0.113.1
6.将上面创建的 SA 链接到远程对等体并定义子网 local 和 remote 子网。
set vpn ipsec site-to-site peer 192.0.2.1 ike-group FOO0
set vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 esp-group FOO0
set vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 local prefix 192.168.1.0/24
set vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 remote prefix 172.16.1.0/24
7.提交更改并保存配置。
commit ; save
CLI: 访问 Cisco ASA 上的命令行界面(CLI)。
1.进入配置模式。
configure terminal
2.为远程和本地子网定义网络对象。
object network obj-local
subnet 172.16.1.0 255.255.255.0
object network obj-remote
subnet 192.168.1.0 255.255.255.0
3.创建 access-list 链接到网络对象的链接。
access-list ipsec-acl extended permit ip object obj-local object obj-remote
4.创建 IKE 策略。
crypto ikev1 policy 100
authentication pre-share
encryption aes
hash sha
group 5
lifetime 28800
5.为 IPsec 配置 transform-set
crypto ipsec ikev1 transform-set ipsec-ts esp-aes esp-sha-hmac
6.创建加密映射并将其链接到 transform-set 和 access-list 。
crypto map ipsec-cm 100 set peer 203.0.113.1
crypto map ipsec-cm 100 set ikev1 transform-set ipsec-ts
crypto map ipsec-cm 100 set security-association lifetime seconds 3600
crypto map ipsec-cm 100 match address ipsec-acl
crypto map ipsec-cm interface outside
7.创建隧道组(将<secret>替换为所需的密码)。
tunnel-group 203.0.113.1 type ipsec-l2l
tunnel-group 203.0.113.1 ipsec-attributes
ikev1 pre-shared-key <secret>
8.启用 IKE 进程。
crypto ikev1 enable outside
9.排除 NAT 转换的 IPsec 流量。
nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote no-proxy-arp route-lookup
nat (inside,outside) source dynamic obj-local interface
10.将更改写入启动配置。
copy running-config startup-config
