root
Well-Known Member
Cisco asa site to site vpn multiple subnets
- Bài lab này khá giống với bài [Lab 16.3] vpn site to site between router and asa
- Nhưng ở đây có quy mô lơn hơn và cách sử dụng NAT ở bài này có sự khác biệt đôi chút so với bài cũ. Nhưng về mặt ý tưởng thì có thể nói là tương tự nhau
I. Sơ đồ Cisco asa site to site vpn multiple subnets
1. Mô hình Cisco asa site to site vpn multiple subnets
2. Yêu cầu lab Cisco asa site to site vpn multiple subnets
- Cấu hình để VPN site-to-site giữa Router và Firewall để Pc trong các mạng LAN giữa Firewall và Router có thể truy cập lẫn nhau
- Pc trong các LAN có thể đi internet bình thường (nat exemption)
- sơ đồ IP
II. Cấu hình IP và định tuyến
1. Cấu hình Router ISP
- Cấu hình IP, NAT
Mã:
ISP(config)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
SP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f1/0
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside2. Router R2
- Cấu hình IP và default-route về ISP
Mã:
R2(config)#int f0/0
R2(config-if)#ip address 152.2.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#ip route 0.0.0.0 0.0.0.0 152.2.2.2543. Trên ASA
- Cấu hình IP, nameif, inspection icmp và đinh tuyến về ISP.
Mã:
ASA(config-if)# int g0
ASA(config-if)# nameif outside
ASA(config-if)# ip address 151.1.1.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# int g1
ASA(config-if)# nameif inside
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# int g2
ASA(config-if)# nameif inside2
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.12.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# int g3
ASA(config-if)# nameif inside3
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.13.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# int g4
ASA(config-if)# nameif inside4
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.14.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config)#fixup protocol icmp
ASA(config)# route outside 0 0 151.1.1.254III. Cấu hình IPSEC VPN và NAT trên Cisco ASA và Router
1. IPSEC-VPN và NAT trên Router R2
- Cấu hình IPSEC-VPN site-to-site trên R2
Mã:
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400
R2(config)#crypto ipsec transform-set SVUIT esp-3des esp-md5-hmac
R2(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 any
R2(config)#crypto map ASA-VPN 10 ipsec-isakmp
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set peer 151.1.1.1
R2(config-crypto-map)#set transform-set SVUIT
R2(config)#int f0/0
R2(config-if)#crypto map ASA-VPN
R2(config)#crypto isakmp key 0 svuit.com address 151.1.1.1- Cấu hình PAT để PC ra internet và cấu hình ACL bypass NAT để PC có thể VPN
Mã:
R2(config)#ip access-list extended NAT
Mã:
R2(config)# deny ip any 192.168.10.0 0.0.0.255
R2(config)# deny ip any 192.168.12.0 0.0.0.255
R2(config)# deny ip any 192.168.13.0 0.0.0.255
R2(config)# deny ip any 192.168.14.0 0.0.0.255// còn lại thì cho phép tất cả đều được NAT
Mã:
R2(config-ext-nacl)#permit ip any any2. Trên Cisco ASA
- Cấu hình IP-SEC VPN site-to-site trên ASA với peer là R2 (152.2.2.2)
Mã:
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400//Bước 1: Tạo Policy SVUIT
Mã:
ASA(config)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac//Bước 2: ACL cho phép traffic nào được vào hầm
Mã:
ASA(config)# object-group network INSIDE-ASA
ASA(config-network-object-group)# network-object 192.168.10.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.12.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.13.0 255.255.255.0
ASA(config-network-object-group)# network-object 192.168.14.0 255.255.255.0
ASA(config-network-object-group)# object-group network INSIDE-R2
ASA(config-network-object-group)# network-object 10.2.2.0 255.255.255.0
ASA(config)# access-list VPN-TRAFFIC permit ip object-group INSIDE-ASA object-group INSIDE-R2//Bước 3: cấu hình crypto map
Mã:
ASA(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ASA(config)# crypto map ASA-VPN 10 set peer 152.2.2.2
ASA(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT//Bước 4: apply crypto map và IKEV1 vào interface
Mã:
ASA(config)# crypto map ASA-VPN interface outside
ASA(config)# crypto ikev1 enable outside// Bước 5: cấu hình tunnel-group
Mã:
ASA(config)# tunnel-group 152.2.2.2 type ipsec-l2l
ASA(config)# tunnel-group 152.2.2.2 ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
ASA(config-tunnel-ipsec)# exit- Thực hiện PAT để PC trong inside ra internet và Nat-exemption để by pass NAT khi VPN. Ở đây nó có số 1 và số 2 để bạn dễ hình dùng hi traffic đi qua bảng NAT nó sẽ kiểm tra dòng số 1 nếu ko phải là VPN thì nó mới chạy xuống dòng 2 thực hiện NAT overload.
//----------- PAT ----
Mã:
ASA(config)#nat (any,outside) 2 source dynamic INSIDE-ASA interface//--- NAT exemption -------------
Mã:
ASA(config)#nat (any,outside) 1 source static INSIDE-ASA INSIDE-ASA destination static INSIDE-R2 INSIDE-R2
Sửa lần cuối:
Bài viết liên quan
Bài viết mới
