ASA IPSEC ×××配置
?
一.IPSEC ××× (site to site)
第一步:在外部接口啟用IKE協(xié)商
crypto isakmp enable outside?
?
第二步:配置isakmp協(xié)商 策略
isakmp 策略兩邊要一致,可設置多個策略模板,只要其中一個和對方匹配即可
isakmp policy 5 authentication pre-share??? //配置認證方式為預共享密鑰
isakmp policy 5 encryption des??????????? //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 ???????????????//配置isakmp 策略的哈希算法
isakmp policy 5 group 2????????????????? //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400???????????? //默認的有效時間
?
第三步:配置需要加密的數據流
192.168.241.0為本地內網地址,10.10.10.0為對方內網地址
access-list ipsec-*** extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0 ??
?
第四步:設置到對方私網地址的路由
配置靜態(tài)路由指向outside接口x.x.x.x為ASA防火墻outside接口地址
route outside 10.10.10.0 255.255.255.0 x.x.x.x ????
?
第五步:配置ipsec的數據轉換格式集
crypto ipsec transform-set my_trans esp-des esp-none?
?
第六步:建立加密靜態(tài)映射圖
crypto map ***_to_test 10 match address ipsec-***???? //配置哪些數據流會啟用IPSEC加密??
crypto map ***_to_test 10 set peer x.x.x.x?????? //指定對端地址x.x.x.x為對端×××公網地址
crypto map ***_to_test 10 set transform-set my_trans?? //建立加密靜態(tài)映射圖,加密格式引用數據轉換格式集my_trans(兩邊要一致)
第七步:將加密靜態(tài)映射圖應用于外網接口
crypto map ***_to_test interface outside?
?
第八步:建立IPSEC ×××隧道組 ????
tunnel-group x.x.x.x ?type ipsec-l2l????????????? //建立IPSEC ×××隧道組類型
tunnel-group x.x.x.x? ipsec-attributes??????????? //配置IPSEC ×××隧道組參數
pre-shared-key *??????????????????????????????? //配置預共享密鑰,兩邊要一致,否則第一階段協(xié)商不起來
?
二.IPSEC? ××× (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池
?
第二步:配置隧道分離ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
?
第三步:配置訪問控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
?
第四步:配置不走NAT的ACL
access-list nonat-*** extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-***? // 不走NAT
?
crypto isakmp enable outside? //在外部接口啟用IKE協(xié)商
?
第五步:配置IKE策略
isakmp policy 5 authentication pre-share? //配置認證方式為預共享密鑰
isakmp policy 5 encryption des??????????? //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 ?????????????????//配置isakmp 策略的哈希算法
isakmp policy 5 group 2?????????????????? //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400??????????? //默認的有效時間
?
第六步:配置組策略
group-policy ipsectest internal??????????? //配置組策略
group-policy ipsectest attributes??????????? //配置組策略屬性
?***-filter value testipsec???????????????? //設置訪問控制
?***-tunnel-protocol IPSec??????????????? //配置隧道協(xié)議
?split-tunnel-policy tunnelspecified????????? //建立隧道分離策略
?split-tunnel-network-list value split-ssl?????? ???//配置隧道分離,相當于推送一張路由表
?
第七步:設置×××隧道組
tunnel-group ipsectest type remote-access?? //設置×××隧道組類型
tunnel-group ipsectest general-attributes???? //設置×××隧道組屬性
?address-pool testipsec?????????????????? //設置地址池
?default-group-policy ipsectest???????????? //指定默認的組策略
tunnel-group ipsectest ipsec-attributes?????? //設置××× 遠程登入(即使用隧道分離)的ipsec屬性
?pre-shared-key *???????????????????????? //設置共享密鑰
?
查看IPSEC ×××的相關信息基本命令
show crypto isakmp sa? //查看IPSEC ×××? isakmp(IPSEC第一階段)協(xié)商的結果
show crypto ipsec sa peer X.X.X.X? //查看IPSEC 會話的相關信息(IPSEC第二階段)
debug crypto ipsec????????????????? //ipsec site to site建立不起來的時候可使用debug命令來獲取相關錯誤信息,通常ASA設備的CPU利用率都比較低,debug命令可放心使用,具體情況區(qū)別對待
?
IPSEC第一階段協(xié)商不起來的常見原因:
peer路由不通
crypto iskmp key沒有設置或者不一致
isakmp的策略(IKE策略)不匹配
?
IPSEC第二階段協(xié)商不起來的常見原因:
IPSEC加密流不對稱
Ipsec協(xié)商參數不一致
?
轉載于:https://blog.51cto.com/104251/998575
總結
以上是生活随笔為你收集整理的ASA IPSEC ×××配置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: “人”
- 下一篇: Lua语言模型 与 Redis应用