پروتکل IKEv2 چیست و نحوه پیکربندی آن در فایروال ASA
نحوه پیکربندی IKEv2 در فایروال ASA، آموزش راه اندازی IKEv2 Tunnel در ASA، آموزش ایجاد ارتباط از طریق IKEv2 در سیسکو(Cisco)
توی این مقاله قراره یک سناریو کاربردی رو پیاده سازی کنیم بدین سبب که قرار است بین دو فایروال Cisco ASA که در سمت Edge دو شبکه مجزا نشسته اند یک ارتباط Site To Site با استفاده از پروتکل IKEv2 برقرار کنیم.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
پروتکل IKEv2 چیست؟
درواقع پروتکل IKEv2 یکی از پروتکل های بکار رفته در پروتکل IPSec میباشد که براساس Isakmp و Oakley طراحی و ساخته شده است که به سبب آن بتوانیم ارتباطات Site To Site VPN را پیاده سازی و برقرار کنیم اما توجه داشته باشید که IKE صرفا فقط یک وظیفه را برعهده ندارد و به عنوان یک Framework که وظایف متنوع را برعهده دارد آن را میشناسیم و در این مقاله قرار است به نحوه ایجاد ارتباط بین دو شبکه مجزا از هم بر روی بستر فایروال ASA بپردازیم.
سناریو ما به شکل زیر میباشد تشکیل شده از دو فایروال ASAv Version 9.5(2) و دو روتر Cisco iOS 15.2(4) اولین کاری که میبایست انجام دهیم پیکربندی ASAv میباشد که من از ASAv 1 شروع به پیکربندی میکنم
پیکربندی ASAv 1 به منظور ایجاد ارتباط از طریق IKEv2
ابتدایی کار در این فرآیند پیکربندی رابط های ما میباشد پیکربندی های مانند تعیین NameIf برای رابط ها و تعیین میزان Security Level و دادن آدرس IP پس از آن نیز میبایست به سراغ نوشتن Static Route برویم به سبب ایجاد ارتباط بین دو شبکه با استفاده از IKEv2 Tunnel که قرار است ایجاد شود.
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 192.168.250.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif OUTSIDE
security-level 0
ip address 1.1.1.1 255.255.255.0
!
route OUTSIDE 0.0.0.0 0.0.0.0 1.1.1.254 1
route INSIDE 10.10.0.0 255.255.0.0 192.168.250.2 1
پس از این حال میبایست دو Network Object ایجاد کنیم که دربر دارنده Subnet های دو شبکه پشت ASA های ما میباشند.
object network S1_NETWORK
subnet 10.10.0.0 255.255.254.0
object network S2_NETWORK
subnet 10.20.0.0 255.255.254.0
پس از ایجاد Network Object ها حالا میبایست یک Access List به منظور ایجاد دسترسی به Subnet های مورد نظر ایجاد کنیم.
access-list SITE2_VPN extended permit ip object S1_NETWORK object S2_NETWORK
پس از ایجاد ACL حال نوبت ایجاد NAT Rule میباشد.
nat (inside,outside) source static S1_NETWORK S1_NETWORK destination static S2_NETWORK S2_NETWORK no-proxy-arp route-lookup
بعد از انجام فرآیند های یالا نوبت به پیکربندی و راه اندازی Tunnel میشوو ابتدایی ترین کاری که میبایست انجام دهیم ایجاد کردن یک Tunnel Group میباشد که آدرس های مقابل را به همراه Pre-Shared Key را تعیین نماییم.
tunnel-group 2.2.2.1 type ipsec-l2l
tunnel-group 2.2.2.1 ipsec-attributes
ikev2 local-authentication pre-shared-key TosinsoKey
ikev2 remote-authentication pre-shared-key TosinsoKey
حال پس از انجام فرآیند های بالا میبایست قوانین و پارامتر های متنوعی رو از جمله پارامترهای نوع Integrity و نوع الگوریتم Encryption را تعیین کنیم.
crypto ikev2 policy 10
group 14
encryption aes-192
integrity sha256
prf sha256
پس از این موضوعات به سبب دستور زیر IKEv2 را برای رابط سمت بیرونیمان فعال سازی میکنیم
crypto ikev2 enable OUTSIDE
حالا نوبتیم که باشه نوبت پیکربندی IPSec Transform Set میباشد.
crypto ipsec ikev2 ipsec-proposal TSET
protocol esp encryption aes-256
protocol esp integrity sha-1
پس از پیکربندی Transform Set و پارامتر های مرحله نهایی ما پیکربندی یک Crypto-Map میباشد.
crypto map CRYPTO-MAP 1 match address SITE2_VPN
crypto map CRYPTO-MAP 1 set pfs group2
crypto map CRYPTO-MAP 1 set peer 2.2.2.1
crypto map CRYPTO-MAP 1 set ikev2 ipsec-proposal TSET
crypto map CRYPTO-MAP interface OUTSIDE
حال توانستیم بر روی ASAv1 خود پیکربندی کامل IKEv2 رو به انجام برسونیم حالا میبایست برویم سراغ ASAv2
پیکربندی ASAv 2 به منظور ایجاد ارتباط از طریق IKEv2
توضیحات پیکربندی در بالا داده شده است پس در پیکربندی ASAv2 توضیح خاصی نمیدیم و فقط پیکربندی را به انجام میرسونیم:
Basic Configuration (Interfaces, routing)
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 192.168.251.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif OUTSIDE
security-level 0
ip address 2.2.2.1 255.255.255.0
!
route OUTSIDE 0.0.0.0 0.0.0.0 2.2.2.254 1
route INSIDE 10.20.0.0 255.255.0.0 192.168.251.2 1
Network Objects
object network S1_NETWORK
subnet 10.10.0.0 255.255.254.0
object network S2_NETWORK
subnet 10.20.0.0 255.255.254.0
Access Control List
access-list SITE1_VPN extended permit ip object S2_NETWORK object S1_NETWORK
access-list SITE1_VPN extended permit ip object S1_NETWORK object S2_NETWORK
NAT Rule
nat (inside,outside) source static S2_NETWORK S2_NETWORK destination static S1_NETWORK S1_NETWORK no-proxy-arp route-lookup
Tunnel Group
tunnel-group 1.1.1.1 type ipsec-l2l
tunnel-group 1.1.1.1 ipsec-attributes
ikev2 local-authentication pre-shared-key TosinsoKey
ikev2 remote-authentication pre-shared-key TosinsoKey
IKEv2 Policy
crypto ikev2 policy 10
group 14
encryption aes-192
integrity sha256
prf sha256
Enable IKEv2 on External Interface
crypto ikev2 enable OUTSIDE
IPSec Transform Set
crypto ipsec ikev2 ipsec-proposal TSET
protocol esp encryption aes-256
protocol esp integrity sha-1
Crypto Map
crypto map CRYPTO-MAP 1 match address SITE1_VPN
crypto map CRYPTO-MAP 1 set pfs group2
crypto map CRYPTO-MAP 1 set peer 1.1.1.1
crypto map CRYPTO-MAP 1 set ikev2 ipsec-proposal TSET
crypto map CRYPTO-MAP interface OUTSIDE
تبریک میگم حالا توانستیم IKEv2 به منظور ایجاد ارتباط در دو شبکه پیکربنوی کنیم اگر مشکلی در پیکربندی نداشته باشید باید بتوانید Ping آدرس های مقابل را در روتر های پشت ASAv داشته باشید
همچنین از دستورات زیر نیز بر روی دیوایس های ASA میتوانیم به عیب یابی و بررسی پیکربندی انجام شده بپردازیم