一.IPSEC *** (site to site)
第一步:在外部接口啓用IKE協商
crypto isakmp enable outside
第二步:配置isakmp協商 策略
isakmp 策略兩邊要一致,可設置多個策略模板,只要其中一個和對方匹配即可
isakmp policy 5 authentication pre-share //配置認證方式爲預共享密鑰
isakmp policy 5 encryption des //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2 //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400 //默認的有效時間
第三步:配置需要加密的數據流
192.168.241.0爲本地內網地址,
access-list ipsec-*** extended permit ip 192.168.241.0 255.255.255.0
第四步:設置到對方私網地址的路由
配置靜態路由指向outside接口x.x.x.x爲ASA防火牆outside接口地址
route outside
第五步:配置ipsec的數據轉換格式集
crypto ipsec transform-set my_trans esp-des esp-none
第六步:建立加密靜態映射圖
crypto map ***_to_test 10 match address ipsec-*** //配置哪些數據流會啓用IPSEC加密
crypto map ***_to_test 10 set peer x.x.x.x //指定對端地址x.x.x.x爲對端***公網地址
crypto map ***_to_test 10 set transform-set my_trans //建立加密靜態映射圖,加密格式引用數據轉換格式集my_trans(兩邊要一致)
第七步:將加密靜態映射圖應用於外網接口
crypto map ***_to_test interface outside
第八步:建立IPSEC ***隧道組
tunnel-group x.x.x.x type ipsec-l
tunnel-group x.x.x.x ipsec-attributes //配置IPSEC ***隧道組參數
pre-shared-key * //配置預共享密鑰,兩邊要一致,否則第一階段協商不起來
二.IPSEC *** (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入後的地址池
第二步:配置隧道分離ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
第三步:配置訪問控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat-*** extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-*** // 不走NAT
crypto isakmp enable outside //在外部接口啓用IKE協商
第五步:配置IKE策略
isakmp policy 5 authentication pre-share //配置認證方式爲預共享密鑰
isakmp policy 5 encryption des //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2 //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400 //默認的有效時間
第六步:配置組策略
group-policy ipsectest internal //配置組策略
group-policy ipsectest attributes //配置組策略屬性
***-filter value testipsec //設置訪問控制
***-tunnel-protocol IPSec //配置隧道協議
split-tunnel-policy tunnelspecified //建立隧道分離策略
split-tunnel-network-list value split-ssl //配置隧道分離,相當於推送一張路由表
第七步:設置***隧道組
tunnel-group ipsectest type remote-access //設置***隧道組類型
tunnel-group ipsectest general-attributes //設置***隧道組屬性
address-pool testipsec //設置地址池
default-group-policy ipsectest //指定默認的組策略
tunnel-group ipsectest ipsec-attributes //設置*** 遠程登入(即使用隧道分離)的ipsec屬性
pre-shared-key * //設置共享密鑰
查看IPSEC ***的相關信息基本命令
show crypto isakmp sa //查看IPSEC *** isakmp(IPSEC第一階段)協商的結果
show crypto ipsec sa peer X.X.X.X //查看IPSEC 會話的相關信息(IPSEC第二階段)
debug crypto ipsec //ipsec site to site建立不起來的時候可使用debug命令來獲取相關錯誤信息,通常ASA設備的CPU利用率都比較低,debug命令可放心使用,具體情況區別對待
IPSEC第一階段協商不起來的常見原因:
peer路由不通
crypto iskmp key沒有設置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二階段協商不起來的常見原因:
IPSEC加密流不對稱
Ipsec協商參數不一致