碼上快樂

相關內容    簡體    繁體

思科CISCO ASA 5521 防火牆 Ipsec 配置詳解

本文轉載自   查看原文   2019-12-12 09:35   500    asa nat/ 防火牆/ ipsec/ 網絡知識/ 思科

版本信息:

Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一樣

 

 

2.1 默認路由

ASA-1(config)  route outside 0.0.0.0 0.0.0.0 100.0.0.2 1              #下一跳地址一般由運營商提供

2.2配置ISAKMP策略(第一階段,協商IKE)

ASA1(config)#crypto ikev1 enable outside    #在外部接口啟用ikev1秘鑰管理協議

ASA1(config)#crypto ikev1 policy 1          #策略越高,調用優先級越高

ASA1(config-ikev1-policy)#encryption aes    #加密策略雙方保持一致

ASA1(config-ikev1-policy)#hash sha         #哈希算法雙方保持一致,用作簽名,確保數據一致性

ASA1(config-ikev1-policy)#authentication pre-share     #預置秘鑰認證

ASA1(config-ikev1-policy)#group 2 

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l    #預隧道類型為lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes   #紅色部分為自定義的名字,這里為了方便記憶寫成了對端IP地址,配置ipsec的屬性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456   #紅色部分為密鑰,雙方一致

 

2.3配置ACL (第二階段開始,保護具體數據流)

ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#這里的acl列表好要和加密映射集的一致(本地-對端)

2.4配置IPSec策略(轉換集)

ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

2.5配置加密映射集

ASA1(config)#crypto map new-map 1 match address 100   #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1     #設置對端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set

2.6將映射集應用在接口

ASA1(config)#crypto map new-map interface outside   #此處標簽后邊沒有序列號

 

2.7 NAT和NAT豁免

ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0  #定義本地的內網網段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface   #NAT重載

 

ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0      #定義對方的內網網段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote  #nat豁免,這句話的意思是,inside網段的地址訪問remote網段的地址,就用相同的地址訪問,不進行轉換(全局模式下

2.8 注意點

1、如果ASA接口的security-level相同則需要配置same-security-traffic permit inter-interface,否則安全級別相同的端口無法互相訪問,VPN也不會通。

2、建議inside口的安全級別低於outside的安全級別,因為CISICO默認高安全級別可以訪問低安全級別的接口

3、另一台服務器按照配置重新做一遍即可,注意對端地址的改變,map集set 和acl  名字可以不一樣,但是加密方式和哈希這些必須保持一致。

 

 

 

 

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 思科ASA防火牆精華配置總結 cisco asa 5525 思科防火牆設置撥號訪問內網以及外網 Cisco ASA 9.17.1 Full ( bin, ova, qcow2, SPA, vhdx ) 下載 - 思科防火牆 思科防火牆ASA端口映射 思科防火牆ASA端口映射 OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火牆配置 Cisco ASA防火牆 IOS恢復 與 ASDM連接 Cisco防火牆配置指南 防火牆配置作業(基於Cisco PT) [小技巧] 在CISCO ASA 5505防火牆上開啟ASDM圖形界面
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM