PaloAlto与Cisco设备间建立L2L IPSec VPN(标准方式及SVTI)

拓扑如下:

Topology

描述:

1、PA与ASA间建立标准L2L IPSec VPN, PA与Router以SVTI方式建立VPN

2、使用的保护策略:

IKE:

加密算法:3DES

散列算法:SHA1

DH组:Group2

认证方式:预共享密钥(Pre-Shared Key)

预共享密钥内容:Wiser001

IPSec:

加密算法:3DES

散列算法:SHA1

PFS:无

3、IP编址与使用接口如图所示,PA与路由器间SVTI隧道口IP为172.16.0.1和3

4、PaloAlto连接内部PA_Inside的接口Zone划入Inside,其他接口划入Outside。vpn使用的隧道接口划入VPN_Tun

4、所有带有Inside的路由器代表各待加密的内部网络。

5、Mgmt为PA网管口

 

 

各设备初始化:

 

PaloAlto配置:

首先在Console以默认密码admin/admin登入并初始化配置管理接口网络

[email protected]>configure

[email protected]#set deviceconfig system ip-address 192.168.147.201 netmask 255.255.255.0

[email protected]#set deviceconfig system default-gateway 192.168.147.2

[email protected]#commit

在浏览器中打开 https://192.168.147.201 使用默认用户名密码登入管理页面,此时会提示用户使用的是默认管理员用户凭据,需要首先修改它,做实验暂且不管。。。确定进入主界面

在Network -> Interfaces中设定端口信息。以e1/1为例,设置端口类型为三层口,分别创建并设置接口zone、虚拟路由器及IP地址。为实验方便,我创建并调用一个Management Profile允许ping。
PA_Interface

 

 

完成后,提交保存。

 

ASA配置:

enable

configure terminal
hostname ASA
inter e0
ip address 12.0.0.2 255.255.255.0
nameif outside
no shutdown
inter e1
ip address 10.0.2.1 255.255.255.0
nameif inside
no shutdown
access-list out permit icmp any any
access-list out permit esp any any
access-list out permit udp any any eq isakmp
access-group out in interface outside
route outside 0 0 12.0.0.1
end
write

 

Router配置:

enable
configure terminal
hostname Router
interface e0/0
ip address 13.0.0.3 255.255.255.0
no shutdown
interface e0/1
ip address 10.0.3.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 13.0.0.1
end
write

 

 

各Inside路由器配置:

PA_Inside:

enable
configure terminal
hostname PA_Inside
interface e0/0
ip address 10.0.1.10 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.1.1
end
write

 

FW_Inside:

enable
configure terminal
hostname FW_Inside
interface e0/0
ip address 10.0.2.10 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.2.1
end
write

 

Router_Inside:

enable
configure terminal
hostname Router_Inside
interface e0/0
ip address 10.0.3.10 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.3.1
end
write

 

 

使用ping测试各加密点间直连通讯正常。

 

 

 

配置PaloAlto与ASA间的标准IPSec L2L VPN:

PaloAlto方面:

1、配置IKE  Crypto。分别添加DH组算法、散列算法及加密算法。

PA_IKEProfile

2、配置IPSec Crypto。分别设置加密算法、散列算法及PFS DH组PA_IPSecProfile

 

3、配置IKE Gateway。我理解就是配置对等体Peer的信息。此处需配置使用的接口及IP地址,以及远端加密点的IP地址和预共享密钥。

PA_IKEGW_ASA

 

在Advanced Phase1 Option中,配置要使用的IKE Crypto Profile。由于强迫症,我把上面的交互模式强制为Main mode。实际不改也没啥关系。

PA_ASA_IKEGWP1Opt

4、配置隧道接口。接口名为tunnel.2,配置好虚拟路由器及Zone。由于本例中使用的是所谓基于策略(Policy Based)的VPN,所以本隧道口不需要配置IP地址。

PA_ASA_TunnInt

5、配置IPSec Tunnel。设定名称、使用的隧道接口名称,设置使用的IKE Gateway,以及IPSec Crypto Profile。

PA_ASA_IPSecTunn

由于是Policy Based VPN,此处需要在Proxy IDs中设定能够通过该隧道穿越的流量。也就相当于感兴趣流。

PA_ASA_Proxy

6、设置流量穿越VPN隧道。添加一条静态路由,通过隧道接口发送。同样由于是Policy Based VPN,此处不需要设定下一跳地址。

PA_ASA_Route

7、设定安全策略,允许VPN连接。实际上最主要是放行outside zone的设备到本机outside zone接口的ciscovpn ike ipsec三项即可。但是保存的时候会提示由于存在依赖关系dtls ssl也需要房型,那么就一起放了吧。。。同时,为了实验方便,再新建一条策略,使通过VPN隧道传入的流量能够ping处于Inside Zone 的 PA_Inside。

PA_SecurityPolicy

ASA方面:

 

configure terminal
access-list vpnflow permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0

crypto ikev1 policy 10
encryption 3des
hash sha
group 2
authentication pre-share
exit

crypto ipsec ikev1 transform-set ts esp-3des esp-sha-hmac

tunnel-group 12.0.0.1 type ipsec-l2l
tunnel-group 12.0.0.1 ipsec-attributes
ikev1 pre-shared-key Wiser001

crypto map asa 10 match address vpnflow
crypto map asa 10 set ikev1 transform-set ts
crypto map asa 10 set peer 12.0.0.1

crypto ikev1 enable outside
crypto map asa interface outside

 

测试:

Ping包测试:

FWIn_Ping

从ASA上查看ike sa及ipsec sa:

ASA_ISAKMPSA

ASA_IPSecSA

从PA上查看Session信息:

PA_ASA_VPNSession

标准VPN的配置到此结束。

 

 

配置PaloAlto与Router间的使用SVTI的IPSec L2L VPN:

PaloAlto方面:

1、IKE Crypto及IPSec Crypto配置套用上面的例子中的配置

2、建立新的IKE Gateway。此处配置与上面的配置类似,实际上只是区别于IP地址

PA_Router_IKEGW

同样的IKE Crypto Profile,同样的强迫症问题。。。

PA_Router_IKEGWP1Opt

3、建立新的隧道接口。本接口命名为tunnel.3,划入虚拟路由器及VPN_Tun区域。

PA_Router_TunnInt

由于SVTI VPN是基于路由(Route Based)的,此处需要对该隧道接口设定IP地址。

PA_Router_TunnIntIP

4、建立IPSec Tunnel。选择接口为刚刚建立的隧道接口,选择IKE Gateway和IPSec Crypto Profile。下面的Tunnel Monitor我个人理解应当是自动监测隧道状态的一个机制,每隔一定时间向该处填写的IP地址发送一个ping包。我在Router处debug ip icmp看了一下,好像确实是这么个意思。

PA_Router_IPSecTun

由于是Route Based VPN,所以此处不需要设置Proxy IDs,通过路由自动判断需要通过vpn隧道的流量。

PA_Router_Proxy

5、设定流量穿越VPN隧道。此处设定一条固定路由通过该隧道,并指定下一跳地址为隧道对端tunnel口的地址。

PA_Router_StaticRoute

 

Router方面:

 

configure terminal
ip access-list extended vpnflow
permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255
exit
crypto isakmp key 0 Wiser001 address 13.0.0.10
crypto isakmp policy 10
encryption 3des
hash sha
authentication pre-share
group 2
exit
crypto ipsec transform-set ts esp-3des esp-sha-hmac
exit
crypto ipsec profile ipsecprof
set transform-set ts
exit
interface tunnel 0
ip address 172.16.0.3 255.255.255.0
tunnel source 13.0.0.3
tunnel destination 13.0.0.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsecprof
exit
ip route 10.0.1.0 255.255.255.0 172.16.0.1
end
write

 

测试:

Ping包测试:

RInside_Ping

从Router上观察SA信息及连接信息:

Router_ISAKMPSA

Rotuer_IPSecSA

Router_Connections

从PA上观察session信息

PA_VPNSession_Router

 

 

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注