ASA防火墙IPSEC VPN配置.pdf

《ASA防火墙IPSEC VPN配置.pdf》由会员分享，可在线阅读，更多相关《ASA防火墙IPSEC VPN配置.pdf（2页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、一一.I I P P S S E E C CV V P P N N(s s i i t t e et t o os s i i t t e e)第一步：在外部接口启用第一步：在外部接口启用 IKEIKE 协商协商crypto isakmp enable outside第二步：配置第二步：配置 isakmpisakmp 协商协商 策略策略isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可isakmp policy 5 authentication pre-sharePSECPSECVPNVPN(client(client totosite)site)第一步：配置地址池第

2、一步：配置地址池拨入后的地址池第二步：配置隧道分离第二步：配置隧道分离 ACLACL第三步：配置访问控制第三步：配置访问控制 ACLACL第四步：配置不走第四步：配置不走 NATNAT的的 ACLACLnat(inside)0 access-list nonat-vpn/不走 NATcrypto isakmp enable outside/在外部接口启用 IKE 协商第五步：配置第五步：配置 IKEIKE 策略策略isakmp policy 5 authentication pre-share/配置认证方式为预共享密钥isakmp policy 5 encryption des/配置 isak

3、mp 策略的加密算法isakmp policy 5 hash md5/配置 isakmp 策略的哈希算法isakmp policy 5 group 2/配置 Diffie-Hellman 组isakmp policy 5 lifetime 86400/默认的有效时间第六步：配置组策略第六步：配置组策略group-policy ipsectest internal/配置组策略group-policy ipsectest attributes/配置组策略属性vpn-filter value testipsec/设置访问控制vpn-tunnel-protocol IPSec/配置隧道协议split-

4、tunnel-policy tunnelspecified/建立隧道分离策略split-tunnel-network-list value split-ssl/配置隧道分离，相当于推送一张路由表第七步：设置第七步：设置 VPNVPN 隧道组隧道组tunnel-group ipsectest type remote-access/设置 VPN 隧道组类型tunnel-group ipsectest general-attributes/设置 VPN 隧道组属性address-pool testipsec/设置地址池default-group-policy ipsectest/指定默认的组策略tu

5、nnel-group ipsectest ipsec-attributes/设置VPN 远程登入(即使用隧道分离)的 ipsec 属性pre-shared-key*/设置共享密钥1 1查看查看 IPSECIPSEC VPNVPN 的相关信息基本命令的相关信息基本命令show crypto isakmp sa/查看 IPSEC VPNisakmp（IPSEC 第一阶段）协商的结果看 IPSEC 会话的相关信息（IPSEC 第二阶段）debug crypto ipsec/ipsec site to site 建立不起来的时候可使用 debug 命令来获取相关错误信息，通常ASA 设备的 CPU 利

6、用率都比较低，debug 命令可放心使用，具体情况区别对待IPSEC 第一阶段协商不起来的常见原因:peer 路由不通crypto iskmp key 没有设置或者不一致isakmp 的策略（IKE 策略）不匹配IPSEC 第二阶段协商不起来的常见原因:IPSEC 加密流不对称Ipsec 协商参数不一致2 2IPSEC ipsec site to siteIPSEC ipsec site to site需要注意的问题需要注意的问题ipsec 会话有默认的时间限制，到默认的时间后会话会失效重新建立，当两端设备类型不一致时，两边的会话的默认到期时间由于不一致将会导致问题，这个参数不影响 IPSEC

7、 VPN 的建立，但是当一边到期后，另外一边 ipsec session保留在那里，而发起访问的服务器是从保留 session 的那一端过来的话，将不会重新建立新的 ipsec 会话。当两端设备不一样时需要注意，kilobytes 这个参数是说传输完多少数据后 ipsec session 到期，seconds 指的是多长时间后会话到期。可在全局模式下配置:crypto ipsec security-association lifetime kilobytes*crypto ipsec security-association lifetime seconds*也可在加密静态映射图crypto map abcmap 1 set security-association lifetime seconds*crypto map abcmap 1 set security-association lifetime kilobytes*