中间网络ASA防火墙对IPSEC ***的影响和解决方法

最新推荐文章于 2021-12-31 16:22:14 发布
最新推荐文章于 2021-12-31 16:22:14 发布
阅读量202 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34038652/article/details/85074352
版权

ipsec *** 实现了网络的拓展,防火墙实现了对网络流量的控制和过滤,因此会对IPSEC ***的通信产生影响。

默认ASA只对UDP/TCP流量维护状态会话,因此会丢弃返回的ESP流量。解决办法有两种

一 使用ACL放行ESP流量.

二 应用检查ipsec ***。

实验拓扑

 

R1配置:

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 192.168.200.2 no-xauth
!
!        
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map r1 10 ipsec-isakmp
 set peer 192.168.200.2
 set transform-set trans
 match address ***
!

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 192.168.100.1 255.255.255.0
 duplex auto
 speed auto
 crypto map r1

ip route 0.0.0.0 0.0.0.0 192.168.100.254
!

ip access-list extended ***
 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

ASA配置:

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.100.254 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.200.254 255.255.255.0

R2配置:

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 192.168.100.1 no-xauth
!
!        
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map r2 10 ipsec-isakmp
 set peer 192.168.100.1
 set transform-set trans
 match address ***
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
 ip address 192.168.200.2 255.255.255.0
 duplex auto
 speed auto
 crypto map r2
!

ip route 0.0.0.0 0.0.0.0 192.168.200.254
!
!
!
!
ip access-list extended ***
 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

测试:

 

 

 

通过上面的测试可用看出R2加密了5个数据包包,但是没有解密数据包,R1不仅收到数据包并且解密了这些数据包,而且还加密了数据包并且返回。显然是ASA丢弃了返回的数据包。知道了原因解决问题就非常好办了。

使用第一种方法ACL放行ESP流量。

access-list out extended permit esp host 192.168.100.1 host 192.168.200.2
access-list out extended permit udp host 192.168.100.1 host 192.168.200.2 eq isakmp
access-group out in interface outside

测试:

 

 

这个方法为那些恶意用户提供了进入内部网络的的通道。我们可以使用IPSEC *** 检查引擎,避免第一方法的缺点。

policy-map type inspect ipsec-pass-thru myipsec
 parameters
  esp timeout 0:05:00
policy-map mypolicy
 class class-default
  inspect ipsec-pass-thru myipsec

service-policy mypolicy interface outside

测试:

 

 

 

 

weixin_34038652
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cisco防火墙ipsec故障排除
05-28
cisco防火墙asa和pix上面配置ipsec 常见故障分析与故障排除方法
ASA防火墙上实现IPSec ***
weixin_34210740的博客
04-17 280
ASA防火墙配置IPSec ***与路由器的差别不是很大,而且原理相同。***工作原理参照上一篇,这里就不在赘述了。实验案例 某软件开发公司为了降低人员成本,在中小城市建立了分支公司,但是分支公司上传给总公司的数据一般为软件开发的关键业务数据,如果其被窃取,可能给公司带来难以预计的损失。作为该分支公司的网络管理员,对网络提出以下设计需求。需求描述:1)开发项目小...
IPSEC ×××需要解决的路由问题及影响IPSEC ×××的网络问题
weixin_34204057的博客
07-16 364
一、做IPSEC ×××需要解决的相关路由问题: (1) 对于内部通信设备(实际通信的设备) 1) 解决去往远端通信设备的路由。 (2) 对于加密设备(实际加密数据的设备) 2) 解决去往本地通信设备的路由 3) 解决去往远端通信设备的路由 4) 解决去往远端加密设备的路由 (3) 对于互联网设备 解决去往两边加密设备的路由 二、影响IPSE...
ASA Modular Policy Framework_04
weixin_34194551的博客
06-14 286
MPF基本MPF架构介绍class-map:什么流量,对流分类3-4层:源目ip,协议号,端口5-7层:应用层http ftp telnetpolicy-map:添加多个类,为每个类做什么动作 3-4层:较简单5-7层:限速,屏蔽关键字,比较复杂service-policy:在哪里 匹配哪个class 执行哪个policyclass-ma...
ASA防火墙之MPF配置监控流量
Stephen_jj的博客
04-27 1068
MPF配置监控流量 本篇继续讲解ASA防火墙,关于使用MPF的方式来配置监控流量,使得流量可以正常的回包。 配置命令如下 配置ICMP监控流量 ASA(config)#policy-map global_policy ASA(config-pmap)#class inspection_default ASA(config-pmap-c)# inspect icmp 配置ESP监控流量 由于在 cl...
思科ASA防火墙镜像文件 asa843
最新发布
02-10
希望可以帮助到各位!
思科ASA防火墙的搭建和配置.doc
04-24
其实网络也是需要防护的,而说到防护,防火墙就不得不派出用场了呢,今天就来学习一下思科ASA防火墙如何服务器上成功搭建并且完成基础配置的!
ASA防火墙最实用的排错思路和4种工具.doc
06-28
思科推荐的排错流量: ①ping直连测试,如果不通,就检查接口配置。 ②查看路由,如果没有就写静态或者动态。...④使用Capture分别抓取收包和发包接口的数据,进行对比(ASA自带程序),这也是终极解决方案。
思科ASA防火墙端口映射
01-07
ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host 10.24.11.216 ASA5506X(config-network-object)# nat ...
思科ASA防火墙镜像文件 asa842
02-10
希望可以帮助到各位!
ASA 实现 IPSec 虚拟专用网(内附故障排查)
看清所以看轻
11-09 2894
IPSec虚拟专用网原理及基础配置实例:https://blog.csdn.net/weixin_44907813/article/details/102941603 其实,防火墙和路由器的配置非常相似,可以参考上方传送门,下方会介绍一个防火墙的配置实例 一、路由器的故障诊断排查 1、show crypto isakmp sa R1:show crypto isakmp sa ...
PIX&ASA的流量放行问题
weixin_33890499的博客
12-07 156
老胳膊总结PIX流量放行问题: NAT,从高到低(安全级别) ACL,在完全级别较低的端口上放行流量 ESP、isakmp(***协议),是非状态化协议,不支持状态化监控,需要放行返回的ESP流量。 GRE,是不支持状态化的协议流量,需放行返回的gre流量。 放行ICMP流量: #access-list out permit icmp an...
两分公支的IPSec***流量走总部测试
weixin_34049032的博客
10-21 279
一.概述: 在论坛上看到一个朋友发帖希望两个分支的IPSEC ***流量经过总部,如是搭建拓扑测试了一下,因为跑两个VM版的ASA8.42机器性能不过,所以用PIX8.0来代替ASA,应该主要配置都跟ASA8.0差不多。二.基本思路:A.两个分支的互访流量利用已有的到总公司的IPSec ***连接B.修改感兴趣,使得分支到分支的流量能走总部再到分支三.测试拓扑:四.基本配置:A.广州总部防火墙FW...
防火墙上配置IPsec时候安全策略的注意点
qq_47529104的博客
12-31 2573
1、我们必须保证两个节点之间的是可以通信的,这样才能保证端点之间可以进行VPN隧道的连接 2、我们要设置对应的安全策略保证内部区域可以访问外部区域 3、当内部数据流经到防火墙并想使用IPsec隧道,那么我们除了放开trust区域到untrust区域的通行,还要放开local到untrust区域的通行,因为经过防火墙的封装之后,数据的源数据已经变成了local,所以我们要放行源local到untrust的通行。 4、我们要放行untrust到local的通行,因为外部的加密数据到防火墙上要进行数据的解封
Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网
ccqeqo6397的博客
09-13 1730
博文目录一、IPSec 虚拟专用网故障排查二、配置防火墙和路由器实现IPSec 虚拟专用网三、总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网。 由于“Virtual Privat...
Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!
小健健的博客
11-05 1808
通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco的路由器上实现IPSec 虚拟专用网技术。千万不要以为在CIsco路由器可以实现IPSec 虚拟专用网,在CIsco ASA防火墙也可以实现,虽然原理是一致的,但是其配置过程,稍微有一些不同。下面主要讲解一下如何在Cisco ASA 防火墙上实现IPSec 虚拟专用网。 博...
ASA 笔记
weixin_34258838的博客
06-11 217
show logging 缓存日志FW(config)# show run route 查看路由 FW(config)# ip verify reverse-path interface Outside 在Outside接口开启URPF FW# packet-tracer input inside tcp 10.1.1.2 1024 202.100.1.1 23 detailed 包跟踪 ...
ipsec驱动源代码(部分)
04-10 3547
免费第一个miniport.c #include "precomp.h" #include "pgpNetKernel.h" #include "stdio.h" #pragma hdrstop BOOLEAN VpnAdapterCreated = FALSE; extern UINT MediumArraySize; NDIS_STATUS MPInitialize( OUT PNDIS_ST
批量升级GPON光猫软件实在搞不定,passthru Driver不会用,在这里向发文征求一下
wangjilebeishang的专栏
12-16 1144
做终端也很多年了,对批量升级这个软件情有独钟,C++都忘记完了,学的语言太多,几回都是半桶水。 首先来说说这个软件,架构很简单,PC一台,二层交换,终端GPON 电脑上按照passthru driver 驱动,网络设置===本地连接====此连接使用下列项目===里面会有passthru 然后在电脑上点击软件开始即可, 功能: 电脑通过网口连接交换机,交换机下接了若干GPON终端的LAN口...
ASA防火墙NAT新版老版的配置方法对比借鉴.pdf
12-25
ASA防火墙NAT配置方法对比借鉴中,我们可以看到,ASA防火墙NAT配置方法的变化和改进是为了满足不同的网络需求,提高网络安全性和灵活性。ASA防火墙NAT配置方法对比借鉴可以帮助我们更好地理解和掌握ASA防火墙NAT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值