工业路由器与Cisco ASA防火墙构建IPSec VPN配置指

1.概述

本文档主要讲述了关于东用科技路由器与中心端Cisco ASA/PIX防火墙构建LAN-to-LAN VPN的方法。ORB全系列产品均支持VPN功能，并与众多国际主流中心端设备厂商产品兼容。建立起LAN-to-LAN VPN之后便可以实现下位机—路由器LAN端与上位机—中心端设备LAN进行双向通信。

2.网络拓扑

2.1网络拓扑

2.2网络拓扑说明

●中心端设备为Cisco ASA/PIX防火墙，IOS版本8.0；外部IP地址173.17.99.100，掩码255.255.255.0；内部IP地址172.16.1.1，掩码255.255.255.0

●接入端1设备为东用科技路由器；外部IP地址193.169.99.100，掩码255.255.255.0；内部IP地址192.168.2.1，掩码255.255.255.0

展开全文

●接入端2设备为东用科技路由器；外部IP地址193.169.99.101，掩码255.255.255.0；内部IP地址192.168.3.1，掩码255.255.255.0

3.配置指导

3.1中心端Cisco ASA/PIX基本配置

Ciscoasa&pix#configure terminal//进入配置模式

Ciscoasa&pix(config)#interface ethernet 0/1//进入内部接口的配置模式（端口类型及端口号请以现场设备为准，内部或外部接口可自行选择）

Ciscoasa&pix(config-if)#nameif inside//为内部接口关联一个inside的名称

Ciscoasa&pix(config-if)#ip address 172.16.1.1 255.255.255.0//为内部接口配置IP地址

Ciscoasa&pix(config-if)#exit//退出内部接口的配置模式

Ciscoasa&pix(config)#interface ethernet 0/0//进入外部接口的配置模式（端口类型及端口号请以现场设备为准，内部或外部接口可自行选择）

Ciscoasa&pix(config-if)#nameif outside//为外部接口关联一个outside的名称

Ciscoasa&pix(config-if)#ip address 173.17.99.100 255.255.255.0//为外部接口配置IP地址

Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式

Ciscoasa&pix(config)#route outside 0.0.0.0 0.0.0.0 173.17.99.1//配置静态默认路由，173.17.99.1为外部接口的网关地址，该地址一般为ISP提供

Ciscoasa&pix(config)#access-list permiticmp extended permit icmp any any//创建访问控制列表允许所有icmp报文，此条访问控制列表的目的是为了测试或排障时使用ping命令（防火墙默认是禁止任何ICMP包通过的）

Ciscoasa&pix(config)#access-group permiticmp in interface outside//将访问控制列表应用到外部接口

Ciscoasa&pix(config)#access-list nonat extended permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0//创建访问控制列表允许172.16.1.0/24网络到192.168.2.0/24网络，此条访问控制列表的目的是对172.16.1.0/24网络到192.168.2.0/24网络的数据包IP字段不进行地址转换(PAT)，172.16.1.0/24是中心端内部网络，192.168.2.0/24是远端内部网络

Ciscoasa&pix(config)#global(outside)1 interface//在外部接口(outside)上启用PAT

Ciscoasa&pix(config)#nat(inside)0 access-list nonat//对从内部接口进入的且匹配nonat访问控制列表的数据包IP字段不进行地址转换（PAT），序列号0代表不转换

Ciscoasa&pix(config)#nat(inside)1 172.16.1.0 255.255.255.0//对从内部接口进入的源地址为172.16.1.0/24的数据包IP字段进行地址转换（PAT）。注：防火墙在收到内部接口进入的数据包后会检查IP字段，并按照NAT条件顺序进行地址转换

Ciscoasa&pix(config)#write memory//保存配置

3.2远端东用科技路由器基本配置

3.2.1远端ORB305 WAN口配置（如无WAN口或采用4G拨号则跳过此步骤）

接通ORB305电源，用一根网线连接ORB305的LAN口和PC，打开浏览器，输入网址192.168.2.1进入ORB305web页面，用户名admin,密码admin点击登录。

进入“网络”->“接口”->“链路备份”将接口WAN链路勾选启用并将优先级置顶（此处以静态IP为例，其他拨号类型请参阅ORB305-4G系列工业路由器快速安装手册）。

进入“广域网”选择拨号类型为“静态IP”并配置IP地址以及其它网口信息。

3.2.2远端ORB305/ORB301 LAN口配置

进入“网络”->“接口”->“网桥”如图使用缺省配置即可。

至此ORB305基本配置完成

3.3 IPSec VPN配置

3.3.1中心端Cisco ASA/PIX IPSec VPN配置

Ciscoasa&pix#configure terminal

Ciscoasa&pix(config)#isakmp enable outside//在外部接口（outside）开启isakmp。

Ciscoasa&pix(config)#crypto isakmp policy 10//定义IKE策略优先级（1为优先级）

Ciscoasa&pix(config-isakmp-policy)##encr 3des//定义加密算法

Ciscoasa&pix(config-isakmp-policy)#hash md5//定义散列算法

Ciscoasa&pix(config-isakmp-policy)#authentication pre-share//定义认证方式

Ciscoasa&pix(config-isakmp-policy)#group 2//定义密钥交换协议/算法标示符

Ciscoasa&pix(config-isakmp-policy)#exit//退出IKE策略配置模式

Ciscoasa&pix(config)#crypto IPSec transform-set cisco esp-3des esp-md5-hmac//创建IPSec转换集cisco

Ciscoasa&pix(config)#crypto isakmp nat-traversal//开启防火墙的NAT-T功能

Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set transform-set cisco//创建动态映射dymap并关联转换集，1为序列号

Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set reverse-route//为动态映射开启RRI（reverse-route injection）反向路由注入

Ciscoasa&pix(config)#crypto dynamic-map dymap 1 match address nonat//为动态映射关联兴趣流量

Ciscoasa&pix(config)#crypto dynamic-map dymap 1 set pfs group2//为动态映射开启pfs（perfect forward secrecy）完美向前加密

Ciscoasa&pix(config)#crypto map finalmap 10 IPSec-isakmp

扫码加微信详细咨询太和智慧养老产品和平台服务！

扫码加微信详细咨询太和智慧养老产品和平台服务！