IPSec×××配置总结完结篇

1.      不同厂家之间的IPSec ×××

以上这些都是同一品牌的设备&＃xff0c;它们之间的互通当然要好实现一些&＃xff0c;可是在实际的项目中各个单位并没有都使用Cisco的设备&＃xff0c;那么不同的厂家的设备之间建立IPSec ×××能够通讯吗&＃xff1f;其实只要各个厂家都遵循标准的IPSec协议&＃xff0c;在加上用户对IPSec ×××理解透彻的话&＃xff0c;一样能够实现互通&＃xff0c;只不过稍微麻烦一点而已。笔者就在NetScreen的NS25防火墙和Cisco的ASA5505防火墙之间就实现了IPSec ×××互通。网络拓扑如图四所示&＃xff1a;                                   

图4

ASA5505防火墙的配置与前面的一样&＃xff0c;配置结果如下&＃xff1a;

ASA(config)# crypto isakmp policy 10                                                          

ASA(config-isakmp-policy)# encryption 3des                                               

ASA(config-isakmp-policy)# authentication pre-share                                   

ASA(config-isakmp-policy)# hash md5                                                          

ASA(config-isakmp-policy)# group 2                                                            

ASA(config-isakmp-policy)# exit

ASA(config)# crypto isakmp key cjgs*** add 59.196.234.42                        

ASA(config)# crypto ipsec transform-set cjgsset esp-3des esp-md5-hmac     

ASA(config)# access-list permit*** permit ip 172.19.30.0 255.255.255.128 192.168.0.0 255.255.255.0                                                                                          

ASA(config)# crypto map *** 10 ipsec-isakmp                                             

ASA(config)# crypto map *** 10 match address permit***                           

ASA(config)# crypto map *** 10 set peer 59.196.234.42                            

ASA(config)# crypto map *** 10 set transform-set cjgsset                             

ASA(config)# crypto map *** interface outside                                              

ASA(config)# crypto isakmp enable outside  

再看看NS25上的配置。在NS25上是采用图形界面完成的IPSec ×××的配置&＃xff0c;具体过程如下&＃xff1a;

第一步&＃xff1a;在NS25上建立两个地址本&＃xff0c;分别代表本地的地址和需要访问的地址&＃xff0c;其实就是定义感兴趣的流量的地址&＃xff0c;总部的地址段定义在Untrust区域&＃xff0c;改制单位的定义在Trust区域&＃xff0c;在左边菜单上依次选择Objects-〉Addresses-〉List&＃xff0c;单击右边页面上的“new”按钮&＃xff0c;如图五所示&＃xff1a;

图5总部的地址段

然后再建立改制单位的地址段&＃xff0c;如图六所示&＃xff1a;

图6改制单位的地址段

第二步&＃xff0c;确定要使用的第一阶段和第二阶段的策略。在NS25中已经预定义了第一阶段和第二阶段的各种参数的组合&＃xff0c;如图七所示&＃xff0c;在菜单中依次选择×××s-〉AutoKey Advanced-〉P1 Prosal

图7阶段一的参数

图中的pre-g2-3des-md5代表使用预共享密钥认证&＃xff0c;DH协议组2的密钥交换算法&＃xff0c;3des加密算法&＃xff0c;md5的完整性算法&＃xff0c;这是将要使用的阶段一的参数。

阶段二的策略如图八所示&＃xff0c;在菜单上依次选择×××s-〉AutoKey Advanced-〉P2 Prosal

图8阶段二的参数

图中nopfs-esp-3des-md5代表不使用pfs&＃xff08;完全前向保密&＃xff09;功能&＃xff0c;该功能会执行新的DH密钥交换&＃xff0c;为每个新会话获取密钥材料&＃xff0c;在笔者的配置中都没有使用该功能。使用ESP协议封装&＃xff0c;使用3des加密和md5认证。

第三步&＃xff0c;开始×××阶段一的配置。在菜单上依次选择×××s-〉AutoKey Advanced-〉Gateway-〉New&＃xff0c;如图九所示&＃xff1a;

图9阶段一的参数

Gateway Name中输入阶段一的策略的名字&＃xff1a;***1&＃xff1b;

Remote Gateway Type中选择Static IP Address&＃xff0c;并输入总部的防火墙的外部接口的地址&＃xff1b;

Preshared Key输入预共享密钥&＃xff1a;cjgsset&＃xff1b;

Outgoing Interface中选择ethernet3&＃xff0c;即改制单位防火墙的公网接口&＃xff1b;

在本页面中选择“Advanced”按钮&＃xff0c;如图十所示&＃xff1a;

图10阶段一的参数

在Phase 1 Proposal中选择阶段一的密钥交换策略&＃xff0c;由于武汉总部是固定的公网IP地址&＃xff0c;在Mode要选择“Main”。

然后再单击页面上的“Return”按钮&＃xff0c;返回到上一级配置页面&＃xff0c;并单击“OK”按钮&＃xff0c;完成了阶段一的配置。

第四步&＃xff1a;开始阶段二的配置。在菜单上依次选择×××s-〉AutoKey IKE-〉NEW&＃xff0c;新建一个阶段2的策略&＃xff0c;如图十一所示&＃xff1a;

图11阶段二的参数

××× Name给阶段二的策略命名&＃xff1a;***&＃xff1b;

Remote Gateway选择预定义&＃xff0c;并在下拉列表中选择刚才定义的阶段一的策略的名称***1。

单击本页面的“Advanced”按钮&＃xff0c;如图十二所示&＃xff1a;

图12阶段二的参数

选择阶段二的策略&＃xff0c;然后单击“Return”&＃xff0c;返回上一级页面后&＃xff0c;再单击“OK”&＃xff0c;完成了阶段二的配置。

第五步&＃xff1a;新建一条Trust到Untrust的策略&＃xff0c;如图十三所示&＃xff0c;

图13新建策略

Source Address选择先前定义的改制单位的地址本&＃xff1b;

Destination Address选择先前定义的总部的地址本&＃xff1b;

Action下拉列表中选择Tunnel&＃xff1b;

Tunnel ×××下拉列表中选择阶段二建立的策略的名称&＃xff0c;并勾选相应的选项。其中除了Logging选项可选可不选外&＃xff0c;图中另外两项最好都选上&＃xff0c;一条是自动建立一条反向的×××策略&＃xff0c;另外一条是将策略放置在所有策略的顶部&＃xff0c;这一点非常重要&＃xff0c;因为策略是按顺序执行的&＃xff0c;如果不放在顶部&＃xff0c;很有可能就执行了别的策略&＃xff0c;从而导致永远不执行这条×××策略&＃xff0c;这样IPSec ×××就永远建立不起来了。

确定之后就完成了整个配置。

在NS25的日志中看看×××建立的过程&＃xff0c;如图十四所示&＃xff1a;

图14×××建立的过程

建立后在ASA上查看×××的状态&＃xff0c;如图十五所示&＃xff1a;

 

图15 ASA5505防火墙×××会话

从武汉总部ping改制单位的计算机&＃xff0c;如图十六所示&＃xff1a;

 

图16 ping改制单位计算机

这样在改制单位与总部之间建立了IPSec ×××通道&＃xff0c;实现了不同厂商产品之间的×××互通。