AS5510与华为云上深信服IPSEC-vpn对接诊断
AS5510与华为云上深信服IPSEC-vpn 对接诊断

interface Ethernet0/0nameif outsidesecurity-level 0ip address 218.70.37.233 255.255.255.248前提:接口IP、路由设置正常一、思科设备配置:路由设置:route outside 172.16.0.0 255.255.255.0 139.9.90.1991.定义VPN两端的访问地址段access-list outside_cryptomap extended permit ip host 192.168.168.243 172.16.0.0 255.255.255.0access-list outside_cryptomap extended permit ip192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.02.定义VPN数据包不进行NAT转换access-list go-vpn extended permit ip 192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.0nat (inside) 0 access-list go-vpn ---<nat_id> '0' is used to indicate no address translation for local IP3、定义ipsec变化集R1(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmacR1(cfg-crypto-trans)#exit4、定义IKE策略:R1(config)#crypto isakmp policy 5R1(config-isakmp)#encryption 3des---默认是DES加密---R1(config-isakmp)#hash sha /---默认是SHA-1---/R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 2 /---默认是768位的DH1---/R1(config-isakmp)#lifetime 86400 /---默认是86400秒---/R1(config-isakmp)#exit5、定义通道组及欲共享秘钥ASA5510(config)# tunnel-group 139.9.90.199 ipsec-attributesASA5510(config-tunnel-ipsec)# pre-shared-key wjm@12345ASA5510(config-tunnel-ipsec)# keepalive disable6、配置加密图R1(config)#crypto map outside_map1 20 match outside_cryptomapcrypto map outside_map1 20 set pfs group1/---默认是group1---/crypto map outside_map1 20 set peer 139.9.90.199crypto map outside_map1 20 set transform-set ESP-3DES-SHA7、加密图并应用在接口上crypto map outside_map1 interface outside检查:show versionshow ip addressshow route outsideshow access-listshow run natshow run cryptoshow run tunnel-groupshow crypto isakmp sashow crypto ipsec sa排错:1.调试完成后发现vpn没有连接成功,可以利用debug工具(debug crypto isakmp 、debug crypto ipsec)进行排错。
使用思科ASA 5500系列进行VPN连接

使用思科ASA 5500系列进行VPN连接思科®ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台,面向中小型企业(SMB)应用。
ASA 5500系列提供基于防火墙、入侵防御系统(IPS)和网络反病毒功能的自适应威胁防御解决方案,它可以与这些服务一起使用,或者作为专门功能的VPN平台独立使用。
在VPN服务方面,思科ASA 5500系列采用灵活的技术,能够提供量身定做的解决方案,满足远程接入和站点到站点的连接要求。
思科ASA 5500系列能够提供易于管理的IP安全(IPSec)和基于VPN的安全套接层(SSL)远程接入,以及网络感知的站点到站点VPN连接,使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。
借助ASA 5500系列,企业能够享受到互联网的连接和成本优势,而不会影响到企业安全策略的完整性。
通过将VPN服务与全面的威胁缓解服务相结合,ASA 5500系列能够提供安全的VPN连接和通信。
集成的自适应威胁防御功能可以提供统一的防御,帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。
此外,还可以对VPN流量实施详细的应用和访问控制策略,使个人和用户组能够访问他们获得授权的应用、网络服务和资源(图1)。
图1. 适用于所有部署方案的VPN服务:带有威胁防御的强大IPSec和SSL VPN服务远程接入思科ASA 5500系列提供完整的远程接入VPN解决方案,支持大量连接方式,包括WebVPN(SSL VPN)、思科VPN客户端(IPSec VPN),以及Nokia Symbian移动无线与PDA客户端的连接。
利用思科在远程接入领域的专业技术,企业能够部署单个集成平台,该平台广泛支持各种核心企业应用,并具备易管理性和部署灵活性。
用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接,从而实现最大的灵活性和应用访问,而无需部署和管理单独的设备。
华为ipsec vpn 配置

AR路由器配置IKE方式的IPSec VPNIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
在Internet的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等.网络中部署IPSec后,可对传输的数据进行保护处理,降低信息泄漏的风险.采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。
分支子网为10。
1.1.0/24,总部子网为10。
1。
2.0/24。
企业希望对分支子网与总部子网之间相互访问的流量进行安全保护.分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。
图1 采用默认配置通过IKE协商方式建立IPSec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道:1。
配置接口的IP地址和到对端的静态路由,保证两端路由可达.2.配置ACL,以定义需要IPSec保护的数据流.3.配置IPSec安全提议,定义IPSec的保护方法。
4.配置IKE对等体,定义对等体间IKE协商时的属性.5。
配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法.6.在接口上应用安全策略组,使接口具有IPSec的保护功能。
操作步骤1。
分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由# 在RouterA上配置接口的IP地址。
<Huawei> system-view[Huawei] sysname RouterA[RouterA]interface gigabitethernet 1/0/0[RouterA—GigabitEthernet1/0/0] ip address 202.138。
51CTO下载-手机客户端对接IPSECVPN配置指导.

SVNV200R100手机VPN客户端对接指导Huawei Technologies Co., Ltd.华为技术有限公司2009-07目录1组网说明 (3)2网关侧关键配置指导 (3)3客户端配置指导 (4)3.1A NDROID 客户端配置指导: (4)3.2I P HONE客户端配置: (8)1 组网说明Android和iPhone VPN对接推荐使用手机系统自带的VPN客户端。
VPN网关可以配置一个公网IP,或者通过NAT方式对外开放UDP 500和4500端口。
2网关侧关键配置指导iPhone (IOS 5.0及以上版本)、Android(2.2及以上版本) 的系统自带VPN客户端对接时,如采用预共享密钥方式,网关可以使用同一套配置:1):配置IPSECipsec proposal 1encapsulation-mode transportesp authentication-algorithm sha1esp encryption-algorithm aesike proposal 4encryption-algorithm aes-cbcdh group2ike peer 1pre-shared-key 12345678ike-proposal 4nat traversalacl number 3005rule 5 permit udp source-port eq 1701ipsec policy-template mobile1 10security acl 3005ike-peer 1proposal 1ipsec policy mobile 1 isakmp template mobile12):配置l2tp:l2tp enableinterface Virtual-Template1ppp authentication-mode papppp timer negotiate 10#配置内网的DNS服务器地址(如无,该配置可省略)ppp ipcp dns 202.96.134.133ip address 192.168.30.1 255.255.255.252remote address pool 1l2tp-group 1undo tunnel authenticationallow l2tp virtual-template 1tunnel name svninterface GigabitEthernet0/0/0ip address 192.168.20.220 255.255.0.0ipsec policy mobilefirewall zone dmzadd interface Virtual-Template1配置VPN用户账号、地址池:VPN账号建议用VPNDB方式,在V-gate中配置,地址池在AAA下对应域中配置,与SSL VPN配置相同。
在ASA防火墙上实现IPSec VPN

一、IPSec VPN故障排查1、show crypto isamkp sa通过它可以查看第一阶段有没有协商成功(这里只介绍主动模式)→MM_NO_STATE:ISAKMP SA建立的初始状态,管理连接建立失败也会处于该状态→MM_SA_SETUP:对等体之间ISAKMP策略协商成功后处于该状态→MM_KEY_EXCH:对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证→MM_KEY_AUTH:对等体成功进行设备验证→QM_IDLE:管理连接建立成功,即将过渡到阶段2的数据连接过程2、debug crypto isakmp如果希望更加详细的查看整个连接过程,可以使用该命令具体错误模拟器无法模拟,实际设备对应查看英文就能看出错误所在二、在Cisco ASA防火墙上配置实现IPSec VPN1、应用案例如图所示→除了ASA防火墙外,其他设备都是使用路由器来模拟,地址规划如图所示→要求实现两个不同网络之间的通信(站点到站点)(1)在Develop上配置→配置IP地址和默认网关即可(2)在Other上配置→同Develop(3)在Internet上配置→配置内容同上(4)在Server上配置→配置内容同上(5)在ISP上配置→只需配置IP地址即可,无需配置网关(模拟环境)(6)在ASA1上配置→配置IP地址和向外路由→NAT的相关配置ciscoasa(config)#access-list nonat permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0ciscoasa(config)#nat (inside1) 0 access-list nonat→建立ISAKMP→配置管理连接策略→配置预共享密钥→配置Crypto ACL在这个案例中,Crypto ACL可以使用NAT豁免时创建的ACL(nonat)→配置传输集在ASA防火墙中,只支持esp协议,不支持ah协议→配置Crypto map→将Crypto map应用到接口(7)在ASA2上配置→配置内容与ASA1上配置几乎相同asa(config)#access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0asa(config)#nat (inside) 0 access-list nonat(8)验证→使用192.168.1.0/24网段可以ping通192.168.4.0/24网段就行了2、防火墙和路由器的区别1>默认配置的区别路由器参数如下:防火墙参数如下2>IKE协商默认是否开启在Cisco路由器上,IKE默认是开启的,而ASA防火墙上默认是关闭的,需要手动开启3>隧道组特性的引入严格意义上,这并不算区别。
VPN连接问题解决方法

VPN连接问题解决方法随着网络的普及和技术的不断进步,越来越多的人开始使用VPN 服务来保护自己的网络隐私和数据安全。
然而,有时候我们可能会遇到一些VPN连接问题,这给我们的网络体验带来了一些困扰。
在本文中,我将为大家介绍一些常见的VPN连接问题,并提供解决方法,以帮助大家顺利解决这些问题。
一、连接超时连接超时是使用VPN时遇到的常见问题之一。
当我们尝试连接VPN时,有时会遇到连接超时的情况,无法成功建立VPN连接。
导致这个问题的原因可能有多种,包括网络不稳定、VPN服务器故障等。
解决方法:1. 检查网络连接:首先,确保您的网络连接正常。
您可以尝试连接其他网站或使用其他应用程序,检查网络是否正常工作。
如果网络有问题,则需要先解决网络问题,再尝试连接VPN。
2. 更换VPN服务器:如果您确认网络连接正常,但仍无法连接VPN,可能是VPN服务器出现故障。
尝试连接其他可用的VPN服务器,看是否能够成功建立连接。
3. 更换VPN客户端:有时,VPN客户端本身可能存在问题。
可以尝试使用其他VPN客户端来连接VPN,看是否能够解决连接超时的问题。
二、速度缓慢另一个常见的VPN连接问题是速度缓慢。
由于VPN会对网络信号进行加密和转发,因此可能会导致网速变慢,给我们的网络体验带来不便。
解决方法:1. 更换VPN协议:某些VPN协议可能会导致速度较慢。
尝试使用其他VPN协议,如OpenVPN、L2TP/IPSec等,看是否可以改善速度。
2. 切换服务器位置:有时,连接到远离您所在位置的服务器可能会导致速度变慢。
尝试连接到距离您更近的服务器,看是否可以提升速度。
3. 关闭其他应用程序和服务:在使用VPN时,关闭其他不必要的应用程序和服务,以释放网络带宽,提升VPN连接速度。
三、DNS泄漏DNS泄漏是一种VPN连接问题,它可能会导致我们的真实IP地址泄露出去,降低我们的网络匿名性和安全性。
解决方法:1. 启用DNS泄漏保护:某些VPN客户端提供了DNS泄漏保护功能。
深信服ssl+ipsecvpn

SSL+IPSEC VPN解决方案1、总部架设一台ssl 2050 vpn,下属办证点小于10台计算机的,用sslvpn 接入;大于10台计算机的,用1050ipsecvpn 连接总部ssl2050vpn。
实现所有办证点与总部服务器服务器之间的访问。
总部计算机通过内网直接访问服务器。
2、下属办证点网络接入支持移动、联通、电信、ADSL、3G上网卡等互联网接入方式。
3、运营商之间互访速度慢的问题,sangfor ssl vpn拥有的多线路技术,实现对多条线路间自动选择最快的线路进行传输,或通过多线路的带宽叠加成倍的扩大出口带宽,将线路之间的传输瓶颈影响降到最小。
方案优势1.部署便利、使用方便:使用普通的ADSL、以太网接入线路,通过SSL/IPSec 二合一VPN设备、IPSec VPN进行企业的整体部网,在总部与大型分支之间构建IPSec VPN隧道,实现总部与分支、分支与分支之间安全、透明的互访,构建一张“大局域网”。
小型分支和移动办公人员只需通过浏览器实现随时随地的SSL VPN接入,打破时间、地域的限制。
2.高速接入体验:速度性远超普通的VPN,提供了网络的高速和高可用性。
在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品,具有特有的多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加速技术的应用,通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果,从而保证了快速接入。
3.应用的统一管理:通过SSL VPN对公司应用进行统一发布,实现对用户的应用使用权限划分、接入流量限制等等管理措施,保证各个用户的访问在授权范围内,不会对主要的系统造成影响和破坏。
并支持日志数据中心,详细的记录了各个用户的访问日志和应用资源的使用情况,为以后的业务审计和网络规划提供了参考依据。
4.高安全性:通过SANGFOR SSL VPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享,又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。
VPN无法连接的解决方案

VPN无法连接的解决方案随着互联网的发展和信息技术的进步,VPN(Virtual Private Network,虚拟私人网络)被广泛应用于商务、教育、个人隐私保护等领域。
它可以为用户提供加密的网络连接,保障数据的安全性和匿名性。
然而,有时候我们会遇到VPN无法连接的问题,这给我们的网络体验带来了困扰。
本文将针对VPN无法连接的常见原因进行分析,并提供相应的解决方案。
1. 网络连接问题首先,我们需要检查网络连接是否正常。
VPN无法连接的一个常见原因是由于网络连接不稳定或中断导致。
可以尝试重新启动电脑、手机或其他设备,检查无线网络是否连接成功,或者尝试通过有线连接来解决问题。
解决方案:确保网络连接稳定。
可以重新连接无线网络,或者尝试使用其他网络连接方式,比如通过有线连接来保证网络稳定。
2. VPN服务器问题VPN无法连接的另一个常见原因是由于VPN服务器端的问题。
有时服务器可能会因维护、故障或过载等原因导致无法连接。
此外,某些VPN服务提供商可能会有地域限制或特定网络限制。
解决方案:切换到其他服务器。
如果你使用的是特定VPN服务提供商的服务,可以尝试切换到该服务商的其他服务器进行连接。
如果可行,还可以尝试更换其他的VPN服务提供商。
3. 防火墙和安全设置问题防火墙和安全设置也可能影响到VPN的连接。
有些防火墙程序或安全设置可能会屏蔽VPN连接的数据流量,导致连接失败。
解决方案:检查并调整防火墙和安全设置。
首先,确保防火墙未屏蔽VPN连接所需的端口和协议。
另外,确保安全设置并未禁用或阻止VPN连接。
如果需要,可以关闭防火墙或安全设置进行尝试,但要注意在连接完成后重新开启以保护网络安全。
4. VPN客户端问题有时VPN客户端的问题也可能导致连接失败。
过时的或不兼容的VPN客户端版本可能会产生各种错误。
解决方案:更新或重新安装VPN客户端。
检查VPN服务提供商的官方网站,下载并安装最新版本的VPN客户端,或尝试适用于您设备的其他可靠的VPN客户端软件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Device 1t ion(rfjierdl LicenseHost Nsne:ASA5510- d>jsrcon. cttASA VersLani 8. 2(1) Device Vptine:4Sd Oh 48s 53sASDM Version; f> 3(1) D&vice Type; ASA SaLOFirewill Mode:Routed Context Mo<i#:SinsLeTotal Flash: 2b6 MB ratal Uemarv:1024 MBin terface EthernetO/On ameif outsidesecurity-level 0ip address 218.70.37.233 255.255.255.248前提:接口IP、路由设置正常一、思科设备配置:路由设置:route outside 172.16.0.0 255.255.255.0 139.9.90.1991•定义VPN两端的访问地址段access-list outside_cryptomap extended permit ip host 192.168.168.243 172.16.0.0255.255.255.0access-list outside_cryptomap exte nded permit ip192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.02、定义VPN数据包不进行NAT转换access-list go-vpn exte nded permit ip 192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.0nat (inside) 0 access-list go-vpn ---<nat_id> '0' is used to indicate no address tran slati on for local IP3、定义ipsec变化集R1(c on fig)#crypto ipsec tran sform-set ESP-3DES-SHA esp-3des esp-sha-hmacR1(cfg-crypto-tra ns)#exit4、定义IKE策略:R1(c on fig)#crypto isakmp policy 5R1(config-isakmp)#encryption 3des--- 默认是DES 加密---R1(config-isakmp)#hash sha /--- 默认是SHA-1---/ispSftSvpn PCSR1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 2 /--- 默认是768 位的DH1---/R1(config-isakmp)#lifetime 86400 /--- 默认是86400 秒---/R1(config-isakmp)#exit5、定义通道组及欲共享秘钥ASA5510(config)# tunnel-group 139.9.90.199 ipsec-attributesASA5510(config-tunnel-ipsec)# pre-shared-key wjm@12345 ASA5510(config-tunnel-ipsec)#keepalive disable6、配置加密图R1(config)#crypto map outside_map1 20 match outside_cryptomapcrypto map outside_map1 20 set pfs group1/--- 默认是group1---/crypto map outside_map1 20 set peer 139.9.90.199crypto map outside_map1 20 set transform-set ESP-3DES-SHA7、加密图并应用在接口上crypto map outside_map1 interface outside检查:show versionshow ip addressshow route outsideshow access-listshow run natshow run cryptoshow run tunnel-groupshow crypto isakmp sashow crypto ipsec sa排错:1.调试完成后发现vpn 没有连接成功,可以利用debug 工具( debug crypto isakmp 、debug crypto ipsec) 进行排错。
2.跟踪程序:packet-tracer input inside icmp 192.168.168.243 8 0 172.16.0.10 detailed ASA5510# show crypto isakmp saActive SA: 1Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 11 IKE Peer: 139.9.90.199Type : L2L Role : responderRekey : no State : MM_ACTIVEASA5510# show crypto ipsec sainterface: outsideCrypto map tag: outside_map3, seq num: 20, local addr: 218.70.37.233access-list outside_cryptomap permit ip 192.168.168.0 255.255.255.0172.16.0.0 255.255.255.0local ident (addr/mask/prot/port): (192.168.168.0/255.255.255.0/0/0) remote ident(addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0) current_peer: 139.9.90.199#pkts encaps: 1583, #pkts encrypt: 1583, #pkts digest: 1583#pkts decaps: 1813, #pkts decrypt: 1813, #pkts verify: 1813#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 1583, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-fragsuccesses: 0, #pre-frag failures: 0, #fragments created: 0#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0local crypto endpt.: 218.70.37.233, remote crypto endpt.: 139.9.90.199path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: F91F6A11inbound esp sas:spi: 0x2E211AC8 (773921480) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 34729984, crypto-map: outside_map3 satiming: remaining key lifetime (sec): 27314 IV size: 8 bytes replay detection support: Y Anti replay bitmap:0xFFFFFFFF 0xFFFFFFFFoutbound esp sas:spi: 0xF91F6A11 (4179585553) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, }slot: 0, conn_id: 34729984, crypto-map: outside_map3 sa timing: remaining key lifetime (sec): 27314 IV size: 8 bytes replay detection support: YAnti replay bitmap:0x00000000 0x00000001业努聚骁服务器图:华为云vpc内网简图1、先给华为云市场的vSSLVPN的安全组入方向先放通udp4500和udp500端口授权对象0.0.0.0/02、然后在vSSLVPN服务器的ipsecvpn设置---第三方对接中配置第一阶段第二阶段安全选项第一阶段第二阶段安全选项里面的参数信息需要和思科防火墙上的第一阶段第二阶段的参数信息一致3、在华为云VPC内网的虚拟路由器配置回包路由,目标是思科内网网段下一跳是vSSLVPN 虚拟机内网IP地址4、登陆华为云控制台管理页面找到VPC名称点击进去有个路由表点击配置注:建议将vSSLVPN虚拟机的网卡检查源和目标功能关闭之前遇到过开启此功能数据不通的情况注:还要注意下华为云虚拟机的安全组入方向出方向的放通vSSLVPN虚拟机入方向授权对象要放通思科内网网段和华为云VPC内网网段这2个网段的数据来回包都要进入vSSLVPN协议端口可以选全部云端业务服务器的虚拟机入方向授权对象要放通思科内网网段出方向华为云是默认全部放通的以上是修改后正确的配置,下面未修改前发现的问题及排错。
问题1:■隧道已经成功建立,配置完成后发现两端网络无法ping通!检查思路:1.两端出口设备抓包,发送端是否发出报文,接收端是否又收到报文。
2•将VSSLVPN虚拟机的网卡检查源和目标功能关闭登陆华为云控制台找到虚拟机点击进去关掉3检查vSSLVPN虚拟机的安全组和可172.16.0.10的虚拟机入方向是否放通了授权对象是V 192.168.168.243的地址协议端口是所有的规则1•下图为深信服vpn 设备上的抓包信息,icmp request 报文从vpn 设备已经发出。