asa防火墻ipsec配置
asa防火墻ipsec配置
cisco思科是全球領先的大品牌,相信很多人也不陌生,那么你知道asa防火墻ipsec 配置嗎?下面是學習啦小編整理的一些關于asa防火墻ipsec 配置的相關資料,供你參考。
asa防火墻ipsec 配置的方法:
第一步:在外部接口啟用IKE協(xié)商
crypto isakmp enable outside
第二步:配置isakmp協(xié)商策略
isakmp 策略兩邊要一致,可設置多個策略模板,只要其中一個和對方匹配即可
isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰
isakmp policy 5 encryption des//配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2//配置Diffie-Hellman組
isakmp policy 5 lifetime 86400//默認的有效時間
第三步:配置需要加密的數(shù)據(jù)流
192.168.241.0為本地內(nèi)網(wǎng)地址,10.10.10.0為對方內(nèi)網(wǎng)地址
access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0
第四步:設置到對方私網(wǎng)地址的路由
配置靜態(tài)路由指向outside接口x.x.x.x為ASA防火墻outside接口地址
route outside 10.10.10.0 255.255.255.0 x.x.x.x
第五步:配置ipsec的數(shù)據(jù)轉換格式集
crypto ipsec transform-set my_trans esp-des esp-none
第六步:建立加密靜態(tài)映射圖
crypto map _to_test 10 match address ipsec-//配置哪些數(shù)據(jù)流會啟用IPSEC加密
crypto map _to_test 10 set peer x.x.x.x//指定對端地址x.x.x.x為對端公網(wǎng)地址
crypto map _to_test 10 set transform-set my_trans//建立加密靜態(tài)映射圖,加密格式引用數(shù)據(jù)轉換格式集my_trans(兩邊要一致)
第七步:將加密靜態(tài)映射圖應用于外網(wǎng)接口
crypto map _to_test interface outside
第八步:建立IPSEC 隧道組
tunnel-group x.x.x.x type ipsec-l2l//建立IPSEC 隧道組類型
tunnel-group x.x.x.x ipsec-attributes//配置IPSEC 隧道組參數(shù)
pre-shared-key *//配置預共享密鑰,兩邊要一致,否則第一階段協(xié)商不起來
二。IPSEC (client to site)
第一步:配置地址池
ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池
第二步:配置隧道分離ACL
access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any
第三步:配置訪問控制ACL
access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat- extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-// 不走NAT
crypto isakmp enable outside//在外部接口啟用IKE協(xié)商
第五步:配置IKE策略
isakmp policy 5 authentication pre-share//配置認證方式為預共享密鑰
isakmp policy 5 encryption des//配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2//配置Diffie-Hellman組
isakmp policy 5 lifetime 86400//默認的有效時間
第六步:配置組策略
group-policy ipsectest internal//配置組策略
group-policy ipsectest attributes//配置組策略屬性
-filter value testipsec//設置訪問控制
-tunnel-protocol IPSec //配置隧道協(xié)議
split-tunnel-policy tunnelspecified//建立隧道分離策略
split-tunnel-network-list value split-ssl//配置隧道分離,相當于推送一張路由表
第七步:設置隧道組
tunnel-group ipsectest type remote-access//設置隧道組類型
tunnel-group ipsectest general-attributes//設置隧道組屬性
address-pool testipsec//設置地址池
default-group-policy ipsectest//指定默認的組策略
tunnel-group ipsectest ipsec-attributes//設置 遠程登入(即使用隧道分離)的ipsec屬性
pre-shared-key *//設置共享密鑰
1.查看IPSEC 的相關信息基本命令
show crypto isakmp sa //查看IPSEC isakmp(IPSEC第一階段)協(xié)商的結果
show crypto ipsec sa peer X.X.X.X //查看IPSEC 會話的相關信息(IPSEC第二階段)debug crypto ipsec
//ipsec site to site建立不起來的時候可使用debug命令來獲取相關錯誤信息,通常ASA設備的CPU利用率都比較低,debug命令可放心使用,具體情況區(qū)別對待
IPSEC第一階段協(xié)商不起來的常見原因:
peer路由不通
crypto iskmp key沒有設置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二階段協(xié)商不起來的常見原因:
IPSEC加密流不對稱
Ipsec協(xié)商參數(shù)不一致
2.IPSEC ipsec site to site需要注意的問題
ipsec會話有默認的時間限制,到默認的時間后會話會失效重新建立,當兩端設備類型不一致時,兩邊的會話的默認到期時間由于不一致將會導致問題,這個參數(shù)不影響IPSEC 的建立,但是當一邊到期后,另外一邊ipsecsession保留在那里,而發(fā)起訪問的服務器是從保留session的那一端過來的話,將不會重新建立新的ipsec會話。當兩端設備不一樣時需要注意,kilobytes這個參數(shù)是說傳輸完多少數(shù)據(jù)后ipsecsession到期,seconds指的是多長時間后會話到期。
可在全局模式下配置:
crypto ipsec security-association lifetime kilobytes *
crypto ipsec security-association lifetime seconds *
也可在加密靜態(tài)映射圖
crypto map abcmap 1 set security-association lifetime seconds *
crypto map abcmap 1 set security-association lifetime kilobytes *
看過文章“asa防火墻ipsec 配置”的人還看了: