华为USG防火墙与Cisco ASA防火墙对接

小乔

Cisco ASA防火墙与USG设备分别为两企业内部网络的出口网关，通过在它们之间建立点到点的IPSec隧道，保证内网用户安全互访。
组网需求
如图1所示，某公司有两个研究所，分别为研究所A和研究所B，其中USG作为研究所A内部网络的出口网关连接Internet；Cisco ASA 5510作为研究所B内部网络的出口网关连接Internet。
要求两个研究所的内部网络用户能通过Internet网络互相通信，且要保证数据在Internet上传输的安全性。

配置思路
1 两个研究所之间需要互访，而两个研究所之间路由不可达，所以需要建立VPN隧道来实现。
2 由于两个研究所之间传输数据需要加密，所以采用IPSec VPN方式建立隧道，且研究所之间需要相互访问，所以只能用策略方式。
3 配置IPSec VPN隧道时，对等体之间建立隧道的参数需要保持统一，如加密算法、认证算法、协商模式、预共享密钥、IKE版本等都需要配置一致。

操作步骤
配置USG
1 配置接口的IP地址，并将接口加入安全区域。
# 配置GigabitEthernet 0/0/1的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.1.1.1 255.255.255.0
[USG-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/0的IP地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.100.1.1 255.255.255.0
[USG-GigabitEthernet0/0/0] quit
# 将GigabitEthernet 0/0/0加入Trust安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将GigabitEthernet 0/0/1加入Untrust安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit
2 开启Trust与Local、Trust与Untrust、Untrust与Local的域间缺省包过滤。
[USG] firewall packet-filter default permit interzone local trust
[USG] firewall packet-filter default permit interzone local untrust
[USG] firewall packet-filter default permit interzone trust untrust
3 配置访问控制列表，定义要保护的数据流。
# 配置ACL 3000，定义源地址为10.100.1.0/24、目的地址为172.16.104.0/24的规则。
[USG] acl number 3000
[USGacl-adv-3000] rule permit ip source 10.100.1.0 0.0.0.255 destination 172.16.104.0 0.0.0.255
[USGacl-adv-3000] quit
4 配置路由。
# 配置USG到研究所B内部网络的路由，此处假设到达研究所B内部网络的下一跳地址为202.1.1.2。
[USG] ip route-static 172.16.104.0 255 255.255.0 202.1.1.2
5 配置IPSec安全提议。
# 配置IPSec安全提议。
[USG] ipsec proposal 1
# 配置IPSec协议的封装模式为隧道模式。
[USG-ipsec-proposal-1] encapsulation-mode tunnel
# 配置IPSec的安全协议为ESP。
[USG-ipsec-proposal-1] transform esp
# 配置ESP方式采用的认证算法为sha1。
[USG-ipsec-proposal-1] esp authentication-algorithm sha1
# 配置ESP协议使用的加密算法为des。
[USG-ipsec-proposal-1] esp encryption-algorithm des
[USG-ipsec-proposal-1] quit
6 配置IKE安全提议。
# 配置IKE安全提议。
[USG] ike proposal 1
# 配置IKE的认证方式为预共享密钥方式（pre-share）。
[USG-ike-proposal-1]] authentication-method pre-share
# 配置IKE的认证算法为SHA1。
[USG-ike-proposal-1] authentication-algorithm sha1
# 配置IKE的加密算法为DES-CBC。
[USG-ike-proposal-1] encryption-algorithm des-cbc
# 配置IKE的完整性算法为hmac-sha1-96。
[USG-ike-proposal-1] integrity-algorithm hmac-sha1-96
# 配置Diffie-Hellman组标识为group2。
[USG-ike-proposal-1] dh group2
# 配置安全联盟生存周期为100000。
[USG-ike-proposal-1] sa duration 100000
[USG-ike-proposal-1] quit
7 配置IKE对等体。
# 配置IKE对等体
[USG] ike peer 1
# 因为Cisco ASA 5510只支持IKEv1，所以USG上也要配置成IKEv1。
[USGike-peer-1] undo version 2
# 配置IKEv1的协商模式为主模式。
[USGike-peer-1] exchange-mode main
# 配置对端IP地址为202.1.2.1。
[USGike-peer-1] remote-address 202.1.2.1
# 引用IKE安全提议1。
[USGike-peer-1] ike-proposal 1
# 配置预共享密钥为abcdefg。
[USGike-peer-1] pre-shared-key abcdefg
[USGike-peer-1] quit
8 创建安全策略。
# 创建名为test的安全策略，并进入安全策略视图。
[USG] ipsec policy test 10 isakmp
# 在安全策略中引用ACL 3000。
[USG-ipsec-policy-isakmp-test-10] security acl 3000
# 在安全策略中引用IPSec安全提议1。
[USG-ipsec-policy-isakmp-test-10] proposal 1
# 在安全策略中引用IKE Peer 1。
[USG-ipsec-policy-isakmp-test-10] ike-peer 1
[USG-ipsec-policy-isakmp-test-10] quit
9在接口引用IPSec安全策略。
# 在GigabitEthernet 0/0/1上引用安全策略test。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ipsec policy test
[USG-GigabitEthernet0/0/1] quit

配置Cisco ASA 5510
1配置接口的IP地址，并设置接口的安全级别。
# 配置Ethernet 0/0的IP地址。
ciscoasa enable
ciscoasa# configure terminal
ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# ip address 172.16.104.1 255.255.255.0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# quit
# 配置Ethernet 0/1的IP地址。
ciscoasa(config)# interface ethernet 0/1
ciscoasa(config-if)# ip address 202.1.2.1 255.255.255.0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# quit
2 配置访问控制列表，允许报文通过inside接口，即连接内网的接口。缺省情况下，outside接口允许报文通过。
ciscoasa(config)# access-list any extended permit ip any any
ciscoasa(config)# access-group any in interface inside
3 配置访问控制列表，定义要保护的数据流。
ciscoasa(config)# access-list ipsec extended permit ip 172.16.104.0 255.255.255.0 10.100.1.0 255.255.255.0
4 配置路由。
# 配置Cisco ASA 5510到研究所A内部网络的路由，此处假设到达研究所B内部网络的下一跳地址为202.1.2.2。
[USG] route outside 10.100.1.0 255.255.255.0 202.1.2.2
5 配置Transform Set，并配置验证算法和加密算法分别为esp-des和esp-sha-hmac。
ciscoasa(config)# crypto ipsec transform-set ipsec esp-des esp-sha-hmac
6 配置ISAKMP策略，并在出接口上使能。
# 配置ISAKMP策略标识为auto。
ciscoasa(config)# isakmp identity auto
# 配置认证方法为pre-share。
ciscoasa(config)# isakmp policy 1 authentication pre-share
# 配置加密算法为des。
ciscoasa(config)# isakmp policy 1 encryption des
# 配置完整性算法为sha。
ciscoasa(config)# isakmp policy 1 hash sha
# 配置Diffie-Hellman组标识为group2。
ciscoasa(config)# isakmp policy 1 group 2
# 配置安全联盟生存周期为100000。
ciscoasa(config)# isakmp policy 1 lifetime 100000
# 在Ethernet0/1上使能ISAKMP策略。
ciscoasa(config)# isakmp enable outside
7 配置协商模式为主模式
ciscoasa(config)# isakmp am-disable
8 配置IPSec Tunnel Group。
# 配置Tunnel Group的类型为LAN-to-LAN。
ciscoasa(config)# tunnel-group 202.1.1.1 type ipsec-l2l
# 配置IPSec隧道的预共享密钥为abcdefg，需要与对端保持一致。
ciscoasa(config)# tunnel-group 202.1.1.1 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key abcdefg
ciscoasa(config-tunnel-ipsec)# quit
9 配置Crypto Map，并应用在出接口上。
# 在Crypto Map中引用访问控制列表ipsec。
ciscoasa(config)# crypto map test 1 match address ipsec
# 配置对端对等体的IP地址。
ciscoasa(config)# crypto map test 1 set peer 202.1.1.1
# 在Crypto Map中引用Transform Set。
ciscoasa(config)# crypto map test 1 set transform-set ipsec
# 在Ethernet0/1上应用Crypto Map。
ciscoasa(config)# crypto map test interface outside

xuchao2019

真真的项目经验，干货

一个小网工

感谢风向 谢谢

hugo_26

ddddddddddddddd