當前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

思科CISCO ASA 5521 防火墙 Ipsec 配置详解

發布時間：2023/12/13 综合教程 26 生活家

生活随笔收集整理的這篇文章主要介紹了思科CISCO ASA 5521 防火墙 Ipsec 配置详解小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

版本信息：

Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一樣

2.1 默認路由

ASA-1(config) route outside 0.0.0.0 0.0.0.0 100.0.0.2 1 #下一跳地址一般由運營商提供

2.2配置ISAKMP策略（第一階段，協商IKE）

ASA1(config)#crypto ikev1 enable outside #在外部接口啟用ikev1秘鑰管理協議

ASA1(config)#crypto ikev1 policy 1 #策略越高，調用優先級越高

ASA1(config-ikev1-policy)#encryption aes #加密策略雙方保持一致

ASA1(config-ikev1-policy)#hash sha #哈希算法雙方保持一致，用作簽名，確保數據一致性

ASA1(config-ikev1-policy)#authentication pre-share #預置秘鑰認證

ASA1(config-ikev1-policy)#group 2

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l #預隧道類型為lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes #紅色部分為自定義的名字，這里為了方便記憶寫成了對端IP地址，配置ipsec的屬性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456 #紅色部分為密鑰，雙方一致

2.3配置ACL （第二階段開始，保護具體數據流）

ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#這里的acl列表好要和加密映射集的一致（本地-對端）

2.4配置IPSec策略（轉換集）

ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

2.5配置加密映射集

ASA1(config)#crypto map new-map 1 match address 100 #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1 #設置對端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set

2.6將映射集應用在接口

ASA1(config)#crypto map new-map interface outside #此處標簽后邊沒有序列號

2.7 NAT和NAT豁免

ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0 #定義本地的內網網段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface #NAT重載

ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0 #定義對方的內網網段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote #nat豁免，這句話的意思是，inside網段的地址訪問remote網段的地址，就用相同的地址訪問，不進行轉換（全局模式下）

2.8 注意點

1、如果ASA接口的security-level相同則需要配置same-security-traffic permit inter-interface，否則安全級別相同的端口無法互相訪問，VPN也不會通。

2、建議inside口的安全級別低于outside的安全級別，因為CISICO默認高安全級別可以訪問低安全級別的接口

3、另一臺服務器按照配置重新做一遍即可，注意對端地址的改變，map集set 和acl 名字可以不一樣，但是加密方式和哈希這些必須保持一致。

總結

以上是生活随笔為你收集整理的思科CISCO ASA 5521 防火墙 Ipsec 配置详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： CSS预处理——LESS
下一篇： [POJ3040] Allowance