亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學習啦 > 學習電腦 > 網(wǎng)絡知識 > 網(wǎng)絡技術 > asa防火墻ipsec配置

      asa防火墻ipsec配置

      時間: 權威724 分享

      asa防火墻ipsec配置

        cisco思科是全球領先的大品牌,相信很多人也不陌生,那么你知道asa防火墻ipsec 配置嗎?下面是學習啦小編整理的一些關于asa防火墻ipsec 配置的相關資料,供你參考。

        asa防火墻ipsec 配置的方法:

        第一步:在外部接口啟用IKE協(xié)商

        crypto isakmp enable outside

        第二步:配置isakmp協(xié)商策略

        isakmp 策略兩邊要一致,可設置多個策略模板,只要其中一個和對方匹配即可

        isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰

        isakmp policy 5 encryption des//配置isakmp 策略的加密算法

        isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法

        isakmp policy 5 group 2//配置Diffie-Hellman組

        isakmp policy 5 lifetime 86400//默認的有效時間

        第三步:配置需要加密的數(shù)據(jù)流

        192.168.241.0為本地內(nèi)網(wǎng)地址,10.10.10.0為對方內(nèi)網(wǎng)地址

        access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0

        第四步:設置到對方私網(wǎng)地址的路由

        配置靜態(tài)路由指向outside接口x.x.x.x為ASA防火墻outside接口地址

        route outside 10.10.10.0 255.255.255.0 x.x.x.x

        第五步:配置ipsec的數(shù)據(jù)轉換格式集

        crypto ipsec transform-set my_trans esp-des esp-none

        第六步:建立加密靜態(tài)映射圖

        crypto map _to_test 10 match address ipsec-//配置哪些數(shù)據(jù)流會啟用IPSEC加密

        crypto map _to_test 10 set peer x.x.x.x//指定對端地址x.x.x.x為對端公網(wǎng)地址

        crypto map _to_test 10 set transform-set my_trans//建立加密靜態(tài)映射圖,加密格式引用數(shù)據(jù)轉換格式集my_trans(兩邊要一致)

        第七步:將加密靜態(tài)映射圖應用于外網(wǎng)接口

        crypto map _to_test interface outside

        第八步:建立IPSEC 隧道組

        tunnel-group x.x.x.x type ipsec-l2l//建立IPSEC 隧道組類型

        tunnel-group x.x.x.x ipsec-attributes//配置IPSEC 隧道組參數(shù)

        pre-shared-key *//配置預共享密鑰,兩邊要一致,否則第一階段協(xié)商不起來

        二。IPSEC (client to site)

        第一步:配置地址池

        ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池

        第二步:配置隧道分離ACL

        access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any

        第三步:配置訪問控制ACL

        access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0

        第四步:配置不走NAT的ACL

        access-list nonat- extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

        nat (inside) 0 access-list nonat-// 不走NAT

        crypto isakmp enable outside//在外部接口啟用IKE協(xié)商

        第五步:配置IKE策略

        isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰

        isakmp policy 5 encryption des//配置isakmp 策略的加密算法

        isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法

        isakmp policy 5 group 2//配置Diffie-Hellman組

        isakmp policy 5 lifetime 86400//默認的有效時間

        第六步:配置組策略

        group-policy ipsectest internal//配置組策略

        group-policy ipsectest attributes//配置組策略屬性

        -filter value testipsec//設置訪問控制

        -tunnel-protocol IPSec //配置隧道協(xié)議

        split-tunnel-policy tunnelspecified//建立隧道分離策略

        split-tunnel-network-list value split-ssl//配置隧道分離,相當于推送一張路由表

        第七步:設置隧道組

        tunnel-group ipsectest type remote-access//設置隧道組類型

        tunnel-group ipsectest general-attributes//設置隧道組屬性

        address-pool testipsec//設置地址池

        default-group-policy ipsectest//指定默認的組策略

        tunnel-group ipsectest ipsec-attributes//設置 遠程登入(即使用隧道分離)的ipsec屬性

        pre-shared-key *//設置共享密鑰

        1.查看IPSEC 的相關信息基本命令

        show crypto isakmp sa //查看IPSEC isakmp(IPSEC第一階段)協(xié)商的結果

        show crypto ipsec sa peer X.X.X.X //查看IPSEC 會話的相關信息(IPSEC第二階段)debug crypto ipsec

        //ipsec site to site建立不起來的時候可使用debug命令來獲取相關錯誤信息,通常ASA設備的CPU利用率都比較低,debug命令可放心使用,具體情況區(qū)別對待

        IPSEC第一階段協(xié)商不起來的常見原因:

        peer路由不通

        crypto iskmp key沒有設置或者不一致

        isakmp的策略(IKE策略)不匹配

        IPSEC第二階段協(xié)商不起來的常見原因:

        IPSEC加密流不對稱

        Ipsec協(xié)商參數(shù)不一致

        2.IPSEC ipsec site to site需要注意的問題

        ipsec會話有默認的時間限制,到默認的時間后會話會失效重新建立,當兩端設備類型不一致時,兩邊的會話的默認到期時間由于不一致將會導致問題,這個參數(shù)不影響IPSEC 的建立,但是當一邊到期后,另外一邊ipsecsession保留在那里,而發(fā)起訪問的服務器是從保留session的那一端過來的話,將不會重新建立新的ipsec會話。當兩端設備不一樣時需要注意,kilobytes這個參數(shù)是說傳輸完多少數(shù)據(jù)后ipsecsession到期,seconds指的是多長時間后會話到期。

        可在全局模式下配置:

        crypto ipsec security-association lifetime kilobytes *

        crypto ipsec security-association lifetime seconds *

        也可在加密靜態(tài)映射圖

        crypto map abcmap 1 set security-association lifetime seconds *

        crypto map abcmap 1 set security-association lifetime kilobytes *

        看過文章“asa防火墻ipsec 配置”的人還看了:

        1.cisco思科路由器設置

        2.思科路由器怎么進入 思科路由器怎么設置

        3.思科路由器控制端口連接圖解

        4.思科路由器基本配置教程

        5.如何進入cisco路由器

        6.cisco怎么進端口

        7.cisco如何看未接來電

        8.cisco常用命令

        9.詳解思科route print

        10.思科路由器恢復出廠配置的方法有哪些

      594768