cisco思科是全球領先的大品牌�,相信很多人也不陌生,那么你知道asa防火墻ipsec vpn配置嗎?下面是學習啦小編整理的一些關于asa防火墻ipsec vpn配置的相關資料��,供你參考����。
asa防火墻ipsec vpn配置的方法:
第一步:在外部接口啟用IKE協商
crypto isakmp enable outside
第二步:配置isakmp協商策略
isakmp 策略兩邊要一致����,可設置多個策略模板,只要其中一個和對方匹配即可
isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰
isakmp policy 5 encryption des//配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2//配置Diffie-Hellman組
isakmp policy 5 lifetime 86400//默認的有效時間
第三步:配置需要加密的數據流
192.168.241.0為本地內網地址�����,10.10.10.0為對方內網地址
access-list ipsec-vpn extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0
第四步:設置到對方私網地址的路由
配置靜態路由指向outside接口x.x.x.x為ASA防火墻outside接口地址
route outside 10.10.10.0 255.255.255.0 x.x.x.x
第五步:配置ipsec的數據轉換格式集
crypto ipsec transform-set my_trans esp-des esp-none
第六步:建立加密靜態映射圖
crypto map vpn_to_test 10 match address ipsec-vpn//配置哪些數據流會啟用IPSEC加密
crypto map vpn_to_test 10 set peer x.x.x.x//指定對端地址x.x.x.x為對端VPN公網地址
crypto map vpn_to_test 10 set transform-set my_trans//建立加密靜態映射圖���,加密格式引用數據轉換格式集my_trans(兩邊要一致)
第七步:將加密靜態映射圖應用于外網接口
crypto map vpn_to_test interface outside
第八步:建立IPSEC VPN隧道組
tunnel-group x.x.x.x type ipsec-l2l//建立IPSEC VPN隧道組類型
tunnel-group x.x.x.x ipsec-attributes//配置IPSEC VPN隧道組參數
pre-shared-key *//配置預共享密鑰�����,兩邊要一致���,否則第一階段協商不起來
二�。IPSEC VPN (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池
第二步:配置隧道分離ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
第三步:配置訪問控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat-vpn extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-vpn// 不走NAT
crypto isakmp enable outside//在外部接口啟用IKE協商
第五步:配置IKE策略
isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰
isakmp policy 5 encryption des//配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2//配置Diffie-Hellman組
isakmp policy 5 lifetime 86400//默認的有效時間
第六步:配置組策略
group-policy ipsectest internal//配置組策略
group-policy ipsectest attributes//配置組策略屬性
vpn-filter value testipsec//設置訪問控制
vpn-tunnel-protocol IPSec //配置隧道協議
split-tunnel-policy tunnelspecified//建立隧道分離策略
split-tunnel-network-list value split-ssl//配置隧道分離��,相當于推送一張路由表
第七步:設置VPN隧道組
tunnel-group ipsectest type remote-access//設置VPN隧道組類型
tunnel-group ipsectest general-attributes//設置VPN隧道組屬性
address-pool testipsec//設置地址池
default-group-policy ipsectest//指定默認的組策略
tunnel-group ipsectest ipsec-attributes//設置VPN 遠程登入(即使用隧道分離)的ipsec屬性
pre-shared-key *//設置共享密鑰
1.查看IPSEC VPN的相關信息基本命令
show crypto isakmp sa //查看IPSEC VPN isakmp(IPSEC第一階段)協商的結果
show crypto ipsec sa peer X.X.X.X //查看IPSEC 會話的相關信息(IPSEC第二階段)debug crypto ipsec
//ipsec site to site建立不起來的時候可使用debug命令來獲取相關錯誤信息��,通常ASA設備的CPU利用率都比較低���,debug命令可放心使用��,具體情況區別對待
IPSEC第一階段協商不起來的常見原因:
peer路由不通
crypto iskmp key沒有設置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二階段協商不起來的常見原因:
IPSEC加密流不對稱
Ipsec協商參數不一致
2.IPSEC ipsec site to site需要注意的問題
ipsec會話有默認的時間限制����,到默認的時間后會話會失效重新建立�,當兩端設備類型不一致時,兩邊的會話的默認到期時間由于不一致將會導致問題,這個參數不影響IPSEC VPN 的建立���,但是當一邊到期后,另外一邊ipsecsession保留在那里,而發起訪問的服務器是從保留session的那一端過來的話�,將不會重新建立新的ipsec會話��。當兩端設備不一樣時需要注意,kilobytes這個參數是說傳輸完多少數據后ipsecsession到期,seconds指的是多長時間后會話到期��。
可在全局模式下配置:
crypto ipsec security-association lifetime kilobytes *
crypto ipsec security-association lifetime seconds *
也可在加密靜態映射圖
crypto map abcmap 1 set security-association lifetime seconds *
crypto map abcmap 1 set security-association lifetime kilobytes *
看過文章“asa防火墻ipsec vpn配置”的人還看了:
1.cisco思科路由器設置
2.思科路由器怎么進入 思科路由器怎么設置
3.思科路由器控制端口連接圖解
4.思科路由器基本配置教程
5.如何進入cisco路由器
6.cisco怎么進端口
7.cisco如何看未接來電
8.cisco常用命令
9.詳解思科route print
10.思科路由器恢復出廠配置的方法有哪些
(責任編輯:VEVB)
