?

一.IPSEC ××× (site to site)

第一步：在外部接口啟用IKE協(xié)商

crypto isakmp enable outside?

?

第二步：配置isakmp協(xié)商 策略

isakmp 策略兩邊要一致，可設(shè)置多個(gè)策略模板，只要其中一個(gè)和對(duì)方匹配即可

isakmp policy 5 authentication pre-share??? //配置認(rèn)證方式為預(yù)共享密鑰

isakmp policy 5 encryption des??????????? //配置isakmp 策略的加密算法

isakmp policy 5 hash md5 ???????????????//配置isakmp 策略的哈希算法

isakmp policy 5 group 2????????????????? //配置Diffie-Hellman組

isakmp policy 5 lifetime 86400???????????? //默認(rèn)的有效時(shí)間

?

第三步：配置需要加密的數(shù)據(jù)流

192.168.241.0為本地內(nèi)網(wǎng)地址，10.10.10.0為對(duì)方內(nèi)網(wǎng)地址

access-list ipsec-*** extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0 ??

?

第四步：設(shè)置到對(duì)方私網(wǎng)地址的路由

配置靜態(tài)路由指向outside接口x.x.x.x為ASA防火墻outside接口地址

route outside 10.10.10.0 255.255.255.0 x.x.x.x ????

?

第五步：配置ipsec的數(shù)據(jù)轉(zhuǎn)換格式集

crypto ipsec transform-set my_trans esp-des esp-none?

?

第六步：建立加密靜態(tài)映射圖

crypto map ***_to_test 10 match address ipsec-***???? //配置哪些數(shù)據(jù)流會(huì)啟用IPSEC加密??

crypto map ***_to_test 10 set peer x.x.x.x?????? //指定對(duì)端地址x.x.x.x為對(duì)端×××公網(wǎng)地址

crypto map ***_to_test 10 set transform-set my_trans?? //建立加密靜態(tài)映射圖，加密格式引用數(shù)據(jù)轉(zhuǎn)換格式集my_trans（兩邊要一致）

第七步：將加密靜態(tài)映射圖應(yīng)用于外網(wǎng)接口

crypto map ***_to_test interface outside?

?

第八步：建立IPSEC ×××隧道組 ????

tunnel-group x.x.x.x ?type ipsec-l2l????????????? //建立IPSEC ×××隧道組類型

tunnel-group x.x.x.x? ipsec-attributes??????????? //配置IPSEC ×××隧道組參數(shù)

pre-shared-key *??????????????????????????????? //配置預(yù)共享密鑰，兩邊要一致，否則第一階段協(xié)商不起來

?

二.IPSEC? ××× (client to site)

第一步：配置地址池

ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入后的地址池

?

第二步：配置隧道分離ACL

access-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any

?

第三步：配置訪問控制ACL

access-list testipsec extended permit ip any 192.168.0.0 255.255.0.0

?

第四步：配置不走NAT的ACL

access-list nonat-*** extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

nat (inside) 0 access-list nonat-***? // 不走NAT

?

crypto isakmp enable outside? //在外部接口啟用IKE協(xié)商

?

第五步：配置IKE策略

isakmp policy 5 authentication pre-share? //配置認(rèn)證方式為預(yù)共享密鑰

isakmp policy 5 encryption des??????????? //配置isakmp 策略的加密算法

isakmp policy 5 hash md5 ?????????????????//配置isakmp 策略的哈希算法

isakmp policy 5 group 2?????????????????? //配置Diffie-Hellman組

isakmp policy 5 lifetime 86400??????????? //默認(rèn)的有效時(shí)間

?

第六步：配置組策略

group-policy ipsectest internal??????????? //配置組策略

group-policy ipsectest attributes??????????? //配置組策略屬性

?***-filter value testipsec???????????????? //設(shè)置訪問控制

?***-tunnel-protocol IPSec??????????????? //配置隧道協(xié)議

?split-tunnel-policy tunnelspecified????????? //建立隧道分離策略

?split-tunnel-network-list value split-ssl?????? ???//配置隧道分離，相當(dāng)于推送一張路由表

?

第七步：設(shè)置×××隧道組

tunnel-group ipsectest type remote-access?? //設(shè)置×××隧道組類型

tunnel-group ipsectest general-attributes???? //設(shè)置×××隧道組屬性

?address-pool testipsec?????????????????? //設(shè)置地址池

?default-group-policy ipsectest???????????? //指定默認(rèn)的組策略

tunnel-group ipsectest ipsec-attributes?????? //設(shè)置××× 遠(yuǎn)程登入(即使用隧道分離)的ipsec屬性

?pre-shared-key *???????????????????????? //設(shè)置共享密鑰

?

查看IPSEC ×××的相關(guān)信息基本命令

show crypto isakmp sa? //查看IPSEC ×××? isakmp（IPSEC第一階段）協(xié)商的結(jié)果

show crypto ipsec sa peer X.X.X.X? //查看IPSEC 會(huì)話的相關(guān)信息（IPSEC第二階段）

debug crypto ipsec????????????????? //ipsec site to site建立不起來的時(shí)候可使用debug命令來獲取相關(guān)錯(cuò)誤信息，通常ASA設(shè)備的CPU利用率都比較低，debug命令可放心使用，具體情況區(qū)別對(duì)待

?

IPSEC第一階段協(xié)商不起來的常見原因:

peer路由不通

crypto iskmp key沒有設(shè)置或者不一致

isakmp的策略（IKE策略）不匹配

?

IPSEC第二階段協(xié)商不起來的常見原因:

IPSEC加密流不對(duì)稱

Ipsec協(xié)商參數(shù)不一致

?

轉(zhuǎn)載于:https://blog.51cto.com/104251/998575

總結(jié)

以上是生活随笔為你收集整理的ASA IPSEC ×××配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。