Cisco ASA IPSec配置流程（9.8.2） 有大用

Cisco ASA IPSec 配置流程（9.8.2）

1. 定义感兴趣流：

object-group network remote //创建peer的地址组
  network-object 192.168.180.0 255.255.255.0
  network-object 192.168.181.0 255.255.255.0

• 1

• 2

• 3

object-group network inside //创建本地的地址组
 network-object 10.5.1.0 255.255.255.0
 network-object 10.5.2.0 255.255.255.0

• 1

• 2

• 3

access-list IPSEC extended permit ip object-group inside object-group remote //配置感兴趣流

• 1

2. 配置IPSec的流量NAT bypass

nat (inside,outside) source static inside inside destination static remote remote //走IPSec的流量不进行NAT

• 1

3. IKE阶段一配置：

crypto ikev1 enable outside //在outside接口开启IKE
crypto ikev1 policy 10  //设置阶段一的策略，包括认证、加密、hash、DH组和生存周期
 authentication pre-share //认证方式为预共享密钥
 encryption aes //加密算法为AES，默认为AES 128
 hash sha //哈希使用sha
 group 2 //DH组使用group 2
 lifetime 86400 //配置生存时间，默认为86400

• 1

• 2

• 3

• 4

• 5

• 6

• 7

4. IKE阶段二配置：

crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac //配置阶段二的transform set

• 1

5. 配置tunnel-group

tunnel-group 2.2.2.2 type ipsec-l2l //配置peer的name，这里使用peer的ip地址，type为site to site
tunnel-group 2.2.2.2 ipsec-attributes //配置预共享密钥
  pre-shared-key cisco //配置密钥，这里使用cisco作为密钥

• 1

• 2

• 3

6. 配置并调用crypto map

crypto map ipsec_map 10 match address IPSEC //调用上面配置的感兴趣流
crypto map ipsec_map 10 set peer 2.2.2.2 //配置peer的ip地址
crypto map ipsec_map 10 set transform-set myset //调用上面配置的transform-set
crypto map ipsec_map interface outside //将crypto map调用在outside口

• 1

• 2

• 3

• 4

至此，一端的IPSec的配置就完成了，对端是同理的，只要保证两端使用相同的IKE参数即可，中间使用的名字不需要保持一致。

配置完成需要流量的触发才可以成功协商起来SA，ping对端地址即可

show 命令

• show crypto isakmp sa //查看第一阶段建立情况

• show crypto ipsec sa //查看第二阶段建立情况

• show crypto isakmp stats //查看已激活的隧道数量

来自  https://blog.csdn.net/jyc131/article/details/107960607