東用科技路由器與CiscoASA防火墻構(gòu)建IPSecVPN配置指導(dǎo)工業(yè)路由器與CiscoASA防火墻構(gòu)建IPSecVPN配置指導(dǎo)概述本文檔主要講述了關(guān)于東用科技路由器與中心端CiscoASA/PIX防火墻構(gòu)建LAN-to-LANVPN的方法。ORB全系列產(chǎn)品均支持VPN功能，并與眾多國際主流中心端設(shè)備廠商產(chǎn)品兼容。建立起LAN-to-LANVPN之后便可以實(shí)現(xiàn)下位機(jī)—路由器LAN端與上位機(jī)—中心端設(shè)備LAN進(jìn)行雙向通信。網(wǎng)絡(luò)拓?fù)?.1網(wǎng)絡(luò)拓?fù)?接入端1的LAN端IP地址為/24網(wǎng)段且不與接入端2LAN重復(fù)2接入端的設(shè)備ORB系列路由器均支持IPSecVPN3東用科技路由器通過有線或無線PPPOE撥號(hào)或固定IP形式獲取外部IP地址4接入端2的LAN端IP地址為/24網(wǎng)段且不與接入端1LAN重復(fù)5接入端的設(shè)備ORB系列路由器均支持IPSecVPN6東用科技路由器通過有線或無線PPPOE撥號(hào)或固定IP形式獲取外部IP地址7中心端設(shè)備必須采用固定IP地址。地址為00/248中心端設(shè)備可以采用cisco，juniper，華為，H3C等國際知名廠商支持IPSec的設(shè)備9中心端LAN端IP地址為/24且不與建立通道的任何LAN重復(fù)2.2網(wǎng)絡(luò)拓?fù)湔f明中心端設(shè)備為CiscoASA/PIX防火墻，IOS版本8.0；外部IP地址00，掩碼；內(nèi)部IP地址，掩碼接入端1設(shè)備為東用科技路由器；外部IP地址00，掩碼；內(nèi)部IP地址，掩碼接入端2設(shè)備為東用科技路由器；外部IP地址01，掩碼；內(nèi)部IP地址，掩碼配置指導(dǎo)3.1中心端CiscoASA/PIX基本配置Ciscoasa&pix#configureterminal//進(jìn)入配置模式Ciscoasa&pix(config)#interfaceethernet0/1//進(jìn)入內(nèi)部接口的配置模式（端口類型及端口號(hào)請(qǐng)以現(xiàn)場設(shè)備為準(zhǔn)，內(nèi)部或外部接口可自行選擇）Ciscoasa&pix(config-if)#nameifinside//為內(nèi)部接口關(guān)聯(lián)一個(gè)inside的名稱Ciscoasa&pix(config-if)#ipaddress//為內(nèi)部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出內(nèi)部接口的配置模式Ciscoasa&pix(config)#interfaceethernet0/0//進(jìn)入外部接口的配置模式（端口類型及端口號(hào)請(qǐng)以現(xiàn)場設(shè)備為準(zhǔn)，內(nèi)部或外部接口可自行選擇）Ciscoasa&pix(config-if)#nameifoutside//為外部接口關(guān)聯(lián)一個(gè)outside的名稱Ciscoasa&pix(config-if)#ipaddress00//為外部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式Ciscoasa&pix(config)#routeoutside//配置靜態(tài)默認(rèn)路由，為外部接口的網(wǎng)關(guān)地址，該地址一般為ISP提供Ciscoasa&pix(config)#access-listpermiticmpextendedpermiticmpanyany//創(chuàng)建訪問控制列表允許所有icmp報(bào)文，此條訪問控制列表的目的是為了測(cè)試或排障時(shí)使用ping命令（防火墻默認(rèn)是禁止任何ICMP包通過的）Ciscoasa&pix(config)#access-grouppermiticmpininterfaceoutside//將訪問控制列表應(yīng)用到外部接口Ciscoasa&pix(config)#access-listnonatextendedpermitip//創(chuàng)建訪問控制列表允許/24網(wǎng)絡(luò)到/24網(wǎng)絡(luò)，此條訪問控制列表的目的是對(duì)/24網(wǎng)絡(luò)到/24網(wǎng)絡(luò)的數(shù)據(jù)包IP字段不進(jìn)行地址轉(zhuǎn)換(PAT)，/24是中心端內(nèi)部網(wǎng)絡(luò)，/24是遠(yuǎn)端內(nèi)部網(wǎng)絡(luò)Ciscoasa&pix(config)#global(outside)1interface//在外部接口(outside)上啟用PATCiscoasa&pix(config)#nat(inside)0access-listnonat//對(duì)從內(nèi)部接口進(jìn)入的且匹配nonat訪問控制列表的數(shù)據(jù)包IP字段不進(jìn)行地址轉(zhuǎn)換（PAT），序列號(hào)0代表不轉(zhuǎn)換Ciscoasa&pix(config)#nat(inside)1//對(duì)從內(nèi)部接口進(jìn)入的源地址為/24的數(shù)據(jù)包IP字段進(jìn)行地址轉(zhuǎn)換（PAT）。注：防火墻在收到內(nèi)部接口進(jìn)入的數(shù)據(jù)包后會(huì)檢查IP字段，并按照NAT條件順序進(jìn)行地址轉(zhuǎn)換Ciscoasa&pix(config)#writememory//保存配置3.2遠(yuǎn)端東用科技路由器基本配置3.2.1遠(yuǎn)端ORB305WAN口配置（如無WAN口或采用4G撥號(hào)則跳過此步驟）接通ORB305電源，用一根網(wǎng)線連接ORB305的LAN口和PC，打開瀏覽器，輸入網(wǎng)址進(jìn)入ORB305web頁面，用戶名admin,密碼admin點(diǎn)擊登錄。進(jìn)入“網(wǎng)絡(luò)”->“接口”->“鏈路備份”將接口WAN鏈路勾選啟用并將優(yōu)先級(jí)置頂（此處以靜態(tài)IP為例，其他撥號(hào)類型請(qǐng)參閱ORB305-4G系列工業(yè)路由器快速安裝手冊(cè)）。進(jìn)入“廣域網(wǎng)”選擇撥號(hào)類型為“靜態(tài)IP”并配置IP地址以及其它網(wǎng)口信息。遠(yuǎn)端ORB305/ORB301LAN口配置進(jìn)入“網(wǎng)絡(luò)”->“接口”->“網(wǎng)橋”如圖使用缺省配置即可。至此ORB305基本配置完成

3.3IPSecVPN配置3.3.1中心端CiscoASA/PIXIPSecVPN配置Ciscoasa&pix#configureterminalCiscoasa&pix(config)#isakmpenableoutside//在外部接口（outside）開啟isakmp。Ciscoasa&pix(config)#cryptoisakmppolicy10//定義IKE策略優(yōu)先級(jí)（1為優(yōu)先級(jí)）Ciscoasa&pix(config-isakmp-policy)##encr3des//定義加密算法Ciscoasa&pix(config-isakmp-policy)#hashmd5//定義散列算法Ciscoasa&pix(config-isakmp-policy)#authenticationpre-share//定義認(rèn)證方式Ciscoasa&pix(config-isakmp-policy)#group2//定義密鑰交換協(xié)議/算法標(biāo)示符Ciscoasa&pix(config-isakmp-policy)#exit//退出IKE策略配置模式Ciscoasa&pix(config)#cryptoIPSectransform-setciscoesp-3desesp-md5-hmac//創(chuàng)建IPSec轉(zhuǎn)換集ciscoCiscoasa&pix(config)#cryptoisakmpnat-traversal//開啟防火墻的NAT-T功能Ciscoasa&pix(config)#cryptodynamic-mapdymap1settransform-setcisco//創(chuàng)建動(dòng)態(tài)映射dymap并關(guān)聯(lián)轉(zhuǎn)換集，1為序列號(hào)Ciscoasa&pix(config)#cryptodynamic-mapdymap1setreverse-route//為動(dòng)態(tài)映射開啟RRI（reverse-routeinjection）反向路由注入Ciscoasa&pix(config)#cryptodynamic-mapdymap1matchaddressnonat//為動(dòng)態(tài)映射關(guān)聯(lián)興趣流量Ciscoasa&pix(config)#cryptodynamic-mapdymap1setpfsgroup2//為動(dòng)態(tài)映射開啟pfs（perfectforwardsecrecy）完美向前加密Ciscoasa&pix(config)#cryptomapfinalmap10IPSec-isakmpdynamicdymap//創(chuàng)建映射并調(diào)用動(dòng)態(tài)映射Ciscoasa&pix(config)#cryptomapfinalmapinterfaceoutside//在外部接口(outside)上應(yīng)用映射Ciscoasa&pix(config)#tunnel-group-mapdefault-groupDefaultL2LGroup//創(chuàng)建默認(rèn)隧道組Ciscoasa&pix(config)#tunnel-groupDefaultL2LGroupIPSec-attributes//進(jìn)入默認(rèn)隧道組配置模式Ciscoasa&pix(config-tunnel-IPSec)#pre-shared-keycisco//設(shè)置默認(rèn)隧道組的與共享密鑰Ciscoasa&pix(config-tunnel-IPSec)#exit//退出默認(rèn)隧道組配置模式Ciscoasa&pix#writememory//保存配置至此中心端CiscoASA/PIX防火墻IPSecVPN配置結(jié)束3.3.2ORB305路由器端配置：將SIM卡插入路由器卡槽給設(shè)備上電，登入路由器web頁面（默認(rèn)為）進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí)，保存配置對(duì)應(yīng)SIM卡撥號(hào)成功，當(dāng)前鏈路變?yōu)榫G色進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器（IPsecVPN客戶端）配置保存并應(yīng)用配置后即可進(jìn)入狀態(tài)→VPN頁面看到IPsecVPN狀態(tài)為已連接3.3.3ORB301路由器端配置：將SIM卡插入路由器卡槽給設(shè)備上電，登入路由器web頁面（默認(rèn)為）進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí)，保存配置進(jìn)入VPN功能→IPSec→IPSec→進(jìn)行路由器（IPSecVPN客戶端）配置保存并應(yīng)用配置后即可進(jìn)入狀態(tài)頁面看到IPSecVPN狀態(tài)為已連接。3.4驗(yàn)證3.4.1中心端驗(yàn)證Ciscoasa&pix(config)#showcryptoisakmpsaActiveSA:1RekeySA:0(Atunnelwillreport1Activeand1RekeySAduringrekey)TotalIKESA:11IKEPeer:00Type:L2LRole:responderRekey:noState:MM_ACTIVE如果出現(xiàn)上述顯示則表示第一階段協(xié)商成功Ciscoasa&pix(config)#showcryptoIPSecsainterface:outsideCryptomaptag:dymap,seqnum:1,localaddr:00access-listnonatpermitiplocalident(addr/mask/prot/port):(//0/0)remoteident(addr/mask/prot/port):(//0/0)current_peer:00#pktsencaps:105,#pktsencrypt:105,#pktsdigest:105#pktsdecaps:105,#pktsdecrypt:105,#pktsverify:105#pktscompressed:0,#pktsdecompressed:0#pktsnotcompressed:105,#pktscompfailed:0,#pktsdecompfailed:0#pre-fragsuccesses:0,#pre-fragfailures:0,#fragmentscreated:0#PMTUssent:0,#PMTUsrcvd:0,#decapsulatedfrgsneedingreassembly:0#senderrors:0,#recverrors:0localcryptoendpt.:00,remotecryptoendpt.:00pathmtu1500,IPSecoverhead58,mediamtu1500currentoutboundspi:1B7B60FBinboundespsas:spi:0xF33099AA(4080048554