1.概述
本文檔主要講述了關于東用科技路由器與中心端Cisco ASA/PIX防火牆建構LAN-to-LAN VPN的方法。ORB全系列産品均支援VPN功能,并與衆多國際主流中心端裝置廠商産品相容。建立起LAN-to-LAN VPN之後便可以實作下位機—路由器LAN端與上位機—中心端裝置LAN進行雙向通信。
2.網絡拓撲
2.1網絡拓撲
2.2網絡拓撲說明
●中心端裝置為Cisco ASA/PIX防火牆,IOS版本8.0;外部IP位址173.17.99.100,掩碼255.255.255.0;内部IP位址172.16.1.1,掩碼255.255.255.0
●接入端1裝置為東用科技路由器;外部IP位址193.169.99.100,掩碼255.255.255.0;内部IP位址192.168.2.1,掩碼255.255.255.0
●接入端2裝置為東用科技路由器;外部IP位址193.169.99.101,掩碼255.255.255.0;内部IP位址192.168.3.1,掩碼255.255.255.0
3.配置指導
3.1中心端Cisco ASA/PIX基本配置
Ciscoasa&pix#configure terminal//進入配置模式
Ciscoasa&pix(config)#interface ethernet 0/1//進入内部接口的配置模式(端口類型及端口号請以現場裝置為準,内部或外部接口可自行選擇)
Ciscoasa&pix(config-if)#nameif inside//為内部接口關聯一個inside的名稱
Ciscoasa&pix(config-if)#ip address 172.16.1.1 255.255.255.0//為内部接口配置IP位址
Ciscoasa&pix(config-if)#exit//退出内部接口的配置模式
Ciscoasa&pix(config)#interface ethernet 0/0//進入外部接口的配置模式(端口類型及端口号請以現場裝置為準,内部或外部接口可自行選擇)
Ciscoasa&pix(config-if)#nameif outside//為外部接口關聯一個outside的名稱
Ciscoasa&pix(config-if)#ip address 173.17.99.100 255.255.255.0//為外部接口配置IP位址
Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式
Ciscoasa&pix(config)#route outside 0.0.0.0 0.0.0.0 173.17.99.1//配置靜态預設路由,173.17.99.1為外部接口的網關位址,該位址一般為ISP提供
Ciscoasa&pix(config)#access-list permiticmp extended permit icmp any any//建立通路控制清單允許所有icmp封包,此條通路控制清單的目的是為了測試或排障時使用ping指令(防火牆預設是禁止任何ICMP包通過的)
Ciscoasa&pix(config)#access-group permiticmp in interface outside//将通路控制清單應用到外部接口
Ciscoasa&pix(config)#access-list nonat extended permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0//建立通路控制清單允許172.16.1.0/24網絡到192.168.2.0/24網絡,此條通路控制清單的目的是對172.16.1.0/24網絡到192.168.2.0/24網絡的資料包IP字段不進行位址轉換(PAT),172.16.1.0/24是中心端内部網絡,192.168.2.0/24是遠端内部網絡
Ciscoasa&pix(config)#global(outside)1 interface//在外部接口(outside)上啟用PAT
Ciscoasa&pix(config)#nat(inside)0 access-list nonat//對從内部接口進入的且比對nonat通路控制清單的資料包IP字段不進行位址轉換(PAT),序列号0代表不轉換
Ciscoasa&pix(config)#nat(inside)1 172.16.1.0 255.255.255.0//對從内部接口進入的源位址為172.16.1.0/24的資料包IP字段進行位址轉換(PAT)。注:防火牆在收到内部接口進入的資料包後會檢查IP字段,并按照NAT條件順序進行位址轉換
Ciscoasa&pix(config)#write memory//儲存配置
3.2遠端東用科技路由器基本配置
3.2.1遠端ORB305 WAN口配置(如無WAN口或采用4G撥号則跳過此步驟)
接通ORB305電源,用一根網線連接配接ORB305的LAN口和PC,打開浏覽器,輸入網址192.168.2.1進入ORB305web頁面,使用者名admin,密碼admin點選登入。
進入“網絡”->“接口”->“鍊路備份”将接口WAN鍊路勾選啟用并将優先級置頂(此處以靜态IP為例,其他撥号類型請參閱ORB305-4G系列工業路由器快速安裝手冊)。
進入“廣域網”選擇撥号類型為“靜态IP”并配置IP位址以及其它網口資訊。
3.2.2遠端ORB305/ORB301 LAN口配置
進入“網絡”->“接口”->“網橋”如圖使用預設配置即可。
至此ORB305基本配置完成
3.3 IPSec VPN配置
3.3.1中心端Cisco ASA/PIX IPSec VPN配置
Ciscoasa&pix#configure terminal
Ciscoasa&pix(config)#isakmp enable outside//在外部接口(outside)開啟isakmp。
Ciscoasa&pix(config)#crypto isakmp policy 10//定義IKE政策優先級(1為優先級)
Ciscoasa&pix(config-isakmp-policy)##encr 3des//定義加密算法
Ciscoasa&pix(config-isakmp-policy)#hash md5//定義雜湊演算法
Ciscoasa&pix(config-isakmp-policy)#authentication pre-share//定義認證方式
Ciscoasa&pix(config-isakmp-policy)#group 2//定義密鑰交換協定/算法标示符
Ciscoasa&pix(config-isakmp-policy)#exit//退出IKE政策配置模式
Ciscoasa&pix(config)#crypto IPSec transform-set cisco esp-3des esp-md5-hmac//建立IPSec轉換集cisco
Ciscoasa&pix(config)#crypto isakmp nat-traversal//開啟防火牆的NAT-T功能
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set transform-set cisco//建立動态映射dymap并關聯轉換集,1為序列号
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set reverse-route//為動态映射開啟RRI(reverse-route injection)反向路由注入
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 match address nonat//為動态映射關聯興趣流量
Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set pfs group2//為動态映射開啟pfs(perfect forward secrecy)完美向前加密
Ciscoasa&pix(config)#crypto map finalmap 10 IPSec-isakmp dynamic dymap//建立映射并調用動态映射
Ciscoasa&pix(config)#crypto map finalmap interface outside//在外部接口(outside)上應用映射
Ciscoasa&pix(config)#tunnel-group-map default-group DefaultL2LGroup//建立預設隧道組
Ciscoasa&pix(config)#tunnel-group DefaultL2LGroup IPSec-attributes//進入預設隧道組配置模式
Ciscoasa&pix(config-tunnel-IPSec)#pre-shared-key cisco//設定預設隧道組的與共享密鑰
Ciscoasa&pix(config-tunnel-IPSec)#exit//退出預設隧道組配置模式
Ciscoasa&pix#write memory//儲存配置
至此中心端Cisco ASA/PIX防火牆IPSec VPN配置結束
3.3.2 ORB305路由器端配置:
1、将SIM卡插入路由器卡槽
2、給裝置上電,登入路由器web頁面(預設為192.168.2.1)
3、進入網絡→接口→連鍊路備份界面啟用對應SIM卡并上調鍊路優先級,儲存配置
4、對應SIM卡撥号成功,目前鍊路變為綠色
5、進入網絡→VPN→IPsec界面進行路由器(IPsec VPN用戶端)配置
儲存并應用配置後即可進入狀态→VPN頁面看到IPsec VPN狀态為已連接配接
3.3.3 ORB301路由器端配置:
1、将SIM卡插入路由器卡槽
2、給裝置上電,登入路由器web頁面(預設為192.168.2.1)
3、進入網絡→接口→連鍊路備份界面啟用對應SIM卡并上調鍊路優先級,儲存配置
4、進入VPN功能→IPSec→IPSec→進行路由器(IPSec VPN用戶端)配置
儲存并應用配置後即可進入狀态頁面看到IPSec VPN狀态為已連接配接。
3.4驗證
3.4.1中心端驗證
Ciscoasa&pix(config)#show crypto isakmp sa
Active SA:1
Rekey SA:0(A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA:1
1 IKE Peer:193.169.99.100
Type:L2L Role:responder
Rekey:no State:MM_ACTIVE
如果出現上述顯示則表示第一階段協商成功
Ciscoasa&pix(config)#show crypto IPSec sa
interface:outside
Crypto map tag:dymap,seq num:1,local addr:173.17.99.100
access-list nonat permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0
local ident(addr/mask/prot/port):(172.16.1.0/255.255.255.0/0/0)
remote ident(addr/mask/prot/port):(192.168.2.0/255.255.255.0/0/0)
current_peer:193.169.99.100
#pkts encaps:105,#pkts encrypt:105,#pkts digest:105
#pkts decaps:105,#pkts decrypt:105,#pkts verify:105
#pkts compressed:0,#pkts decompressed:0
#pkts not compressed:105,#pkts comp failed:0,#pkts decomp failed:0
#pre-frag successes:0,#pre-frag failures:0,#fragments created:0
#PMTUs sent:0,#PMTUs rcvd:0,#decapsulated frgs needing reassembly:0
#send errors:0,#recv errors:0
local crypto endpt.:173.17.99.100,remote crypto endpt.:193.169.99.100
path mtu 1500,IPSec overhead 58,media mtu 1500
current outbound spi:1B7B60FB
inbound esp sas:
spi:0xF33099AA(4080048554)
transform:esp-3des esp-md5-hmac none
in use settings={L2L,Tunnel,PFS Group 2,}
slot:0,conn_id:12288,crypto-map:dymap
sa timing:remaining key lifetime(sec):3493
IV size:8 bytes
replay detection support:Y
outbound esp sas:
spi:0x1B7B60FB(461070587)
transform:esp-3des esp-md5-hmac none
in use settings={L2L,Tunnel,PFS Group 2,}
slot:0,conn_id:12288,crypto-map:dymap
sa timing:remaining key lifetime(sec):3493
IV size:8 bytes
replay detection support:Y
如出現上述顯示則表示第二階段協商成功,IPSec VPN建立成功
3.4.2遠端路由器驗證