ASA之間建立IPsec-***(Dynamic site-to-site static)【一邊固定IP、一邊動態IP】
網絡拓撲:
ASA動態端:
第一階段:8.4(2)版本及以上的ASA支持2個版本的IKE,所以在定義密鑰的交互形式的時候我們選擇IKEV1:
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hashmd5
group 2
lifetime 28800
tunnel-group 123.123.10.1 type ipsec-l2l //定義***的形式以peer
tunnel-group 123.123.10.1 ipsec-attributes //進入ipsec-***的屬性配置
ikev1 pre-shared-key *****
第二階段:主要用於如何安全的交互數據。這裏我們採用3des來加密數據,同時哈希算法使用MD5,要想實現L2L的IPSEC-***,***的模式務必使用tunnel 模式,默認情況下IPSEC-***工作在tunnel模式:
crypto ipsec ikev1 transform-set officehkesp-3des esp-md5-hmac
定義感興趣流:感興趣流一定要寫明細的條目,不能爲any字樣,否則***無法建立。同時兩邊的感興趣流務必對稱:
access-list ipsec_*** extended permit ip 172.15.1.0 255.255.255.0 10.43.0.0 255.255.255.0
配置NAT豁免:主要作用於去往隧道加密的流量不被NAT
object network local-***-traffic
subnet 172.15.1.0 255.255.255.0
object network remote-***-traffic
subnet 10.43.0.0 255.255.255.0
nat (inside,outside) source static local-***-trafficlocal-***-traffic destination static remote-***-traffic remote-***-traffic
創建crypto map 調用第一、二階段:
crypto map ipsec-map 10 match addressipsec_***
crypto map ipsec-map 10 set pfs group5 \\這裏必須定義爲group1或group5
crypto map ipsec-map 10 set peer 123.123.10.1
crypto map ipsec-map 10 set ikev1transform-set officehk
公網outside接口調用crypto map :
crypto map ipsec-map interface outside
crypto ikev1 enable outside
ASA靜態端:
第一階段:
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hashmd5
group 2
lifetime 86400
tunnel-group DefaultL2LGroup ipsec-attributes \\這裏必須使用系統默認的組來做動態L2L
ikev1 pre-shared-key *****
第二階段:
crypto ipsec ikev1 transform-set hk_officeesp-3des esp-md5-hmac
定義感興趣流:
access-list ipsec_*** extended permit ip 10.43.0.0 255.255.0.0 172.15.1.0 255.255.255.0
配置NAT豁免:
object network local-***-traffic
subnet 10.43.0.0 255.255.0.0
object network hk-office-traffic
subnet 172.15.1.0 255.255.255.0
nat (inside,outside) source staticlocal-***-traffic local-***-traffic destination static hk-office-traffichk-office-traffic
創建crypto map 調用第一、二階段(這裏必須使用動態map調用轉換集,然後用靜態map關聯):
crypto dynamic-map hkdymap 10 match addressipsec_***
crypto dynamic-map hkdymap 10 set pfs group5 \\這裏必須定義爲group1或group5
crypto dynamic-map hkdymap 10 set ikev1transform-set hk_office
crypto map ez***map 10 ipsec-isakmp dynamichkdymap
crypto map ez***map interface outside
crypto ikev1 enable outside
最後,流量觸發--自動建立***隧道(必須從動態一端觸發):
常用隧道查看命令:
show crypto isakmp sa
show crypto ipsec sa
show crypto isakmp stats
show crypto ipsec stats