若本地数据中心使用的是思科防火墙,在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在思科防火墙上进行VPN连接的配置。
注意
本文命令仅作为示例命令,实际操作中请以现场为准。思科防火墙的配置详情,您可咨询第三方防火墙厂商,本文不做过多介绍。
已完成创建VPN网关、创建用户网关、创建IPsec连接和添加VPN网关路由的操作。
云上VPC:网段为192.168.2.0/24,VPN网关的公网IP为22.XX.XX.10。
本地数据中心:私网网段为10.1.1.0/24,网关设备的静态公网IP为122.XX.XX.64。
VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。
预共享密钥:test@1234
IKE配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes192 |
| DH算法 | group14 |
| 协商模式 | main |
| 版本 | ikev1 |
| 生命周期 | 86400 |
IPsec配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes192 |
DH算法 | group14 说明 若本地防火墙不支持PFS功能或不配置DH算法,此处需配置为“disable”。 |
| 生命周期 | 86400 |
使用SSH命令,登录本地思科防火墙的配置界面。
ssh -p admin@110.XX.XX.32 #使用SSH命令,登录思科防火墙。 User Access Verification #输入用户名称、用户密码,进入用户模式。 Username: admin Password: *** #本文密码加密处理,在实际操作中请输入真实的密码。 Type help or '?' for a list of available commands.
进入思科防火墙的全局模式。
ASA> ASA> en Password: #输入enable和enable的密码进入特权模式,此模式下仅可查看。 ASA #conf t ASA(config)# #输入“config ter”进入全局模式,并在此模式下配置防火墙。
在全局模式下,配置云上VPC的防火墙接口。
interface GigabitEthernet0/0 nameif outside #定义端口的安全域名。 security-level 0 #定义端口的安全域等级。 ip address 122.XX.XX.64 255.255.255.255 #输入本地数据中心的公网IP地址。
配置isakmp策略。
crypto ikev1 policy 1 #定义ikev1第一阶段协商序号为1,范围为1~65535,序号越小优先级越高。 authentication pre-share #配置认证方法为预共享密钥。 encryption aes #设置第一阶段协商数据加密算法为aes。 hash sha #设置IKE策略中的认证算法为sha。 group 14 # 设置IKE策略的DH算法为组group 14。 lifetime 86400 # 设置生命周期为86400秒。
配置建立IPsec连接的预共享密钥。
crypto isakmp key test@1234 address 22.XX.XX.10 #输入预共享密钥,需要与创建IPsec连接的预共享密钥一致,22.XX.XX.10为VPN网关的公网IP地址。
配置IPsec协议。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel #设置IPsec第二阶段协商的加密算法、认证算法。
配置ACL策略。
access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #配置ACL策略,捕获VPN通道的数据流,本地网关设备多网段,需要分别为每个网段添加ACL策略。
配置IPsec策略。
crypto map ipsecpro64 10 ipsec-isakmp set peer 22.XX.XX.10 #设置云上网关的IP,此处为VPN网关的公网IP地址。 set transform-set ipsecpro64 #为加密映射条目设置IKEv1协议。 set pfs group14 #设置DH协议。 match address 100 #调用被ACL捕获的数据流。
启动IPsec策略。
interface g0/0 crypto map ipsecpro64
配置静态路由。
ip route 192.168.2.0 255.255.255.0 22.XX.XX.10
测试云上VPC与云下数据中心的连通性。
登录VPN网关所属VPC的云服务器,执行ping命令,Ping本地数据中心的地址可Ping通,表示IPsec通信隧道已建立。
预共享密钥:test@1234
NAT穿越:开启
IKE配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes256 |
| DH算法 | group14 |
| 协商模式 | main |
| 版本 | ikev2 |
| 生命周期 | 86400 |
IPsec配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes |
DH算法 | group14 说明 若本地防火墙不支持PFS功能或不配置DH算法,此处需配置为“disable”。 |
| 生命周期 | 86400 |
参考上述“IKEv1版本”操作步骤的步骤1~步骤3,登录本地思科防火墙的配置界面,
配置IKE第一阶段参数。
crypto ikev2 proposal daemon integrity sha256 #设置IKE策略中的认证算法为sha256。 encryption aes-cbc-192 #设置第一阶段协商数据加密算法为aes192。 group 14 #设置IKE策略的DH算法为group 14。 lifetime 86400 #设置生命周期为86400秒。
配置IKEv2策略。
crypto ikev2 policy ipsecpro64_v2 #设置IKEv2策略。 proposal daemon #应用proposal。
配置预共享密钥。
crypto ikev2 keyring ipsecpro64_v2 peer vpngw address 22.XX.XX.10 pre-shared-key 0 test@1234 #输入预共享密钥,需要与创建IPsec连接的预共享密钥保持一致。
配置身份认证信息。
crypto ikev2 profile ipsecpro64_v2 match identity remote address 22.XX.XX.10 255.255.255.255 #云上网关IP,此处为VPN网关的公网IP地址。 identity local address 10.1.1.1 #输入本地网关的地址。 authentication remote pre-share authentication local pre-share keyring local ipsecpro64_v2
配置IPsec协议。
crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac mode tunnel #设置IPsec第二阶段协商的加密算法、认证算法。
配置ACL策略。
access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 #配置ACL策略,捕获VPN通道的数据流,本地网关设备多网段,需要分别为每个网段添加ACL策略。
配置IPsec策略。
crypto map ipsecpro64_v2 10 ipsec-isakmp set peer 22.XX.XX.10 #将被IPsec保护的流量转发到的云上网关的地址,此处为VPN网关的公网IP地址。 set transform-set ipsecpro64_v2 #为加密映射条目设置IKEv2协议。 set pfs group14 #设置DH协议。 match address 100 #调用被ACL捕获的数据流。
启动IPsec策略。
interface g0/0 crypto map ipsecpro64_v2
配置静态路由。
ip route 192.168.2.0 255.255.255.0 22.XX.XX.10
测试云上VPC与云下数据中心的连通性。
登录VPN网关所属VPC的云服务器,执行ping命令,Ping本地数据中心的地址可Ping通,表示IPsec通信隧道已建立。