asa防火墻ipsec配置

時(shí)間：2016-03-31 15:52:39 權(quán)威724由分享

asa防火墻ipsec配置

　　cisco思科是全球領(lǐng)先的大品牌，相信很多人也不陌生，那么你知道asa防火墻ipsec 配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于asa防火墻ipsec 配置的相關(guān)資料，供你參考。

　　asa防火墻ipsec 配置的方法：

　　第一步：在外部接口啟用IKE協(xié)商

　　crypto isakmp enable outside

　　第二步：配置isakmp協(xié)商策略

　　isakmp 策略?xún)蛇呉恢拢稍O(shè)置多個(gè)策略模板，只要其中一個(gè)和對(duì)方匹配即可

　　isakmp policy 5 authentication pre-share//配置認(rèn)證方式為預(yù)共享密鑰

　　isakmp policy 5 encryption des//配置isakmp 策略的加密算法

　　isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法

　　isakmp policy 5 group 2//配置Diffie-Hellman組

　　isakmp policy 5 lifetime 86400//默認(rèn)的有效時(shí)間

　　第三步：配置需要加密的數(shù)據(jù)流

　　192.168.241.0為本地內(nèi)網(wǎng)地址，10.10.10.0為對(duì)方內(nèi)網(wǎng)地址

　　access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0

　　第四步：設(shè)置到對(duì)方私網(wǎng)地址的路由

　　配置靜態(tài)路由指向outside接口x.x.x.x為ASA防火墻outside接口地址

　　route outside 10.10.10.0 255.255.255.0 x.x.x.x

　　第五步：配置ipsec的數(shù)據(jù)轉(zhuǎn)換格式集

　　crypto ipsec transform-set my_trans esp-des esp-none

　　第六步：建立加密靜態(tài)映射圖

　　crypto map _to_test 10 match address ipsec-//配置哪些數(shù)據(jù)流會(huì)啟用IPSEC加密

　　crypto map _to_test 10 set peer x.x.x.x//指定對(duì)端地址x.x.x.x為對(duì)端公網(wǎng)地址

　　crypto map _to_test 10 set transform-set my_trans//建立加密靜態(tài)映射圖，加密格式引用數(shù)據(jù)轉(zhuǎn)換格式集my_trans(兩邊要一致)

　　第七步：將加密靜態(tài)映射圖應(yīng)用于外網(wǎng)接口

　　crypto map _to_test interface outside

　　第八步：建立IPSEC 隧道組

　　tunnel-group x.x.x.x type ipsec-l2l//建立IPSEC 隧道組類(lèi)型

　　tunnel-group x.x.x.x ipsec-attributes//配置IPSEC 隧道組參數(shù)

　　pre-shared-key *//配置預(yù)共享密鑰，兩邊要一致，否則第一階段協(xié)商不起來(lái)

　　二。IPSEC (client to site)

　　第一步：配置地址池

　　ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池

　　第二步：配置隧道分離ACL

　　access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any

　　第三步：配置訪(fǎng)問(wèn)控制ACL

　　access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0

　　第四步：配置不走NAT的ACL

　　access-list nonat- extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

　　nat (inside) 0 access-list nonat-// 不走NAT

　　crypto isakmp enable outside//在外部接口啟用IKE協(xié)商

　　第五步：配置IKE策略

　　isakmp policy 5 authentication pre-share//配置認(rèn)證方式為預(yù)共享密鑰

　　isakmp policy 5 encryption des//配置isakmp 策略的加密算法

　　isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法

　　isakmp policy 5 group 2//配置Diffie-Hellman組

　　isakmp policy 5 lifetime 86400//默認(rèn)的有效時(shí)間

　　第六步：配置組策略

　　group-policy ipsectest internal//配置組策略

　　group-policy ipsectest attributes//配置組策略屬性

　　-filter value testipsec//設(shè)置訪(fǎng)問(wèn)控制

　　-tunnel-protocol IPSec //配置隧道協(xié)議

　　split-tunnel-policy tunnelspecified//建立隧道分離策略

　　split-tunnel-network-list value split-ssl//配置隧道分離，相當(dāng)于推送一張路由表

　　第七步：設(shè)置隧道組

　　tunnel-group ipsectest type remote-access//設(shè)置隧道組類(lèi)型

　　tunnel-group ipsectest general-attributes//設(shè)置隧道組屬性

　　address-pool testipsec//設(shè)置地址池

　　default-group-policy ipsectest//指定默認(rèn)的組策略

　　tunnel-group ipsectest ipsec-attributes//設(shè)置遠(yuǎn)程登入(即使用隧道分離)的ipsec屬性

　　pre-shared-key *//設(shè)置共享密鑰

　　1.查看IPSEC 的相關(guān)信息基本命令

　　show crypto isakmp sa //查看IPSEC isakmp(IPSEC第一階段)協(xié)商的結(jié)果

　　show crypto ipsec sa peer X.X.X.X //查看IPSEC 會(huì)話(huà)的相關(guān)信息(IPSEC第二階段)debug crypto ipsec

　　//ipsec site to site建立不起來(lái)的時(shí)候可使用debug命令來(lái)獲取相關(guān)錯(cuò)誤信息，通常ASA設(shè)備的CPU利用率都比較低，debug命令可放心使用，具體情況區(qū)別對(duì)待

　　IPSEC第一階段協(xié)商不起來(lái)的常見(jiàn)原因：

　　peer路由不通

　　crypto iskmp key沒(méi)有設(shè)置或者不一致

　　isakmp的策略(IKE策略)不匹配

　　IPSEC第二階段協(xié)商不起來(lái)的常見(jiàn)原因：

　　IPSEC加密流不對(duì)稱(chēng)

　　Ipsec協(xié)商參數(shù)不一致

　　2.IPSEC ipsec site to site需要注意的問(wèn)題

　　ipsec會(huì)話(huà)有默認(rèn)的時(shí)間限制，到默認(rèn)的時(shí)間后會(huì)話(huà)會(huì)失效重新建立，當(dāng)兩端設(shè)備類(lèi)型不一致時(shí)，兩邊的會(huì)話(huà)的默認(rèn)到期時(shí)間由于不一致將會(huì)導(dǎo)致問(wèn)題，這個(gè)參數(shù)不影響IPSEC 的建立，但是當(dāng)一邊到期后，另外一邊ipsecsession保留在那里，而發(fā)起訪(fǎng)問(wèn)的服務(wù)器是從保留session的那一端過(guò)來(lái)的話(huà)，將不會(huì)重新建立新的ipsec會(huì)話(huà)。當(dāng)兩端設(shè)備不一樣時(shí)需要注意，kilobytes這個(gè)參數(shù)是說(shuō)傳輸完多少數(shù)據(jù)后ipsecsession到期，seconds指的是多長(zhǎng)時(shí)間后會(huì)話(huà)到期。

　　可在全局模式下配置：

　　crypto ipsec security-association lifetime kilobytes *

　　crypto ipsec security-association lifetime seconds *

　　也可在加密靜態(tài)映射圖

　　crypto map abcmap 1 set security-association lifetime seconds *

　　crypto map abcmap 1 set security-association lifetime kilobytes *

　　看過(guò)文章“asa防火墻ipsec 配置”的人還看了：

　　1.cisco思科路由器設(shè)置

　　2.思科路由器怎么進(jìn)入思科路由器怎么設(shè)置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.如何進(jìn)入cisco路由器