版本信息:
Cisco Adaptive Security Appliance Software Version 9.9(2)
Firepower Extensible Operating System Version 2.3(1.84)
Device Manager Version 7.9(2)
老版本配置不一样
2.1 默认路由
ASA-1(config) route outside 0.0.0.0 0.0.0.0 100.0.0.2 1 #下一跳地址一般由运营商提供
2.2配置ISAKMP策略(第一阶段,协商IKE)
ASA1(config)#crypto ikev1 enable outside #在外部接口启用ikev1秘钥管理协议
ASA1(config)#crypto ikev1 policy 1 #策略越高,调用优先级越高
ASA1(config-ikev1-policy)#encryption aes #加密策略双方保持一致
ASA1(config-ikev1-policy)#hash sha #哈希算法双方保持一致,用作签名,确保数据一致性
ASA1(config-ikev1-policy)#authentication pre-share #预置秘钥认证
ASA1(config-ikev1-policy)#group 2
ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l #预隧道类型为lan to lan
ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes #红色部分为自定义的名字,这里为了方便记忆写成了对端IP地址,配置ipsec的属性
ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456 #红色部分为密钥,双方一致
2.3配置ACL (第二阶段开始,保护具体数据流)
ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
这里的acl列表好要和加密映射集的一致(本地-对端)
2.4配置IPSec策略(转换集)
ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac
2.5配置加密映射集
ASA1(config)#crypto map new-map 1 match address 100 #匹配上面的acl
ASA1(config)#crypto map new-map 1 set peer 200.0.0.1 #设置对端的地址
ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set
2.6将映射集应用在接口
ASA1(config)#crypto map new-map interface outside #此处标签后边没有序列号
2.7 NAT和NAT豁免
ASA1(config)object network inside
ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0 #定义本地的内网网段
ASA1(config)object network inside
ASA1 (config-network-object)nat (inside,outside) dynamic interface #NAT重载
ASA1(config)object network remote
ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0 #定义对方的内网网段
ASA1(config)nat (inside,outside) source static inside inside destination static remote remote #nat豁免,这句话的意思是,inside网段的地址访问remote网段的地址,就用相同的地址访问,不进行转换( 全局模式下)
2.8 注意点
1、如果ASA接口的security-level相同则需要配置same-security-traffic permit inter-interface,否则安全级别相同的端口无法互相访问,VPN也不会通。
2、建议inside口的安全级别低于outside的安全级别,因为CISICO默认高安全级别可以访问低安全级别的接口
3、另一台服务器按照配置重新做一遍即可,注意对端地址的改变,map集set 和acl 名字可以不一样,但是加密方式和哈希这些必须保持一致。
Original: https://www.cnblogs.com/simendavid/p/12027394.html
Author: 湖南馒头
Title: 思科CISCO ASA 5521 防火墙 Ipsec 配置详解
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/574088/
转载文章受原作者版权保护。转载请注明原作者出处!