ASA之間建立IPsec-***(Dynamic site-to-site static)【一邊固定IP、一邊動態IP】

原創 木子涵Blog 2018-09-12 02:58

ASA之間建立IPsec-***Dynamic site-to-site static)【一邊固定IP、一邊動態IP

 

網絡拓撲:


wKioL1lDXivRUsmtAACMOmEyKac787.png-wh_50


ASA動態端:

第一階段:8.42)版本及以上的ASA支持2個版本的IKE,所以在定義密鑰的交互形式的時候我們選擇IKEV1

 

crypto ikev1 policy 10

 authentication pre-share

 encryption 3des

 hashmd5

 group 2

 lifetime 28800

 

tunnel-group 123.123.10.1 type ipsec-l2l      //定義***的形式以peer

tunnel-group 123.123.10.1 ipsec-attributes    //進入ipsec-***的屬性配置

 ikev1 pre-shared-key *****

 

第二階段:主要用於如何安全的交互數據。這裏我們採用3des來加密數據,同時哈希算法使用MD5,要想實現L2LIPSEC-******的模式務必使用tunnel 模式,默認情況下IPSEC-***工作在tunnel模式:

crypto ipsec ikev1 transform-set officehkesp-3des esp-md5-hmac

定義感興趣流:感興趣流一定要寫明細的條目,不能爲any字樣,否則***無法建立。同時兩邊的感興趣流務必對稱:

access-list ipsec_*** extended permit ip 172.15.1.0 255.255.255.0 10.43.0.0 255.255.255.0

 

配置NAT豁免:主要作用於去往隧道加密的流量不被NAT

object network local-***-traffic

 subnet 172.15.1.0 255.255.255.0

object network remote-***-traffic

 subnet 10.43.0.0 255.255.255.0

nat (inside,outside) source static local-***-trafficlocal-***-traffic destination static remote-***-traffic remote-***-traffic

 

創建crypto map 調用第一、二階段:

crypto map ipsec-map 10 match addressipsec_***

crypto map ipsec-map 10 set pfs group5  \\這裏必須定義爲group1或group5

crypto map ipsec-map 10 set peer 123.123.10.1

crypto map ipsec-map 10 set ikev1transform-set officehk

公網outside接口調用crypto map :

crypto map ipsec-map interface outside

crypto ikev1 enable outside

 

 

ASA靜態端:

第一階段:

crypto ikev1 policy 10

 authentication pre-share

 encryption 3des

 hashmd5

 group 2

 lifetime 86400

tunnel-group DefaultL2LGroup ipsec-attributes  \\這裏必須使用系統默認的組來做動態L2L

 ikev1 pre-shared-key *****

 

第二階段:

crypto ipsec ikev1 transform-set hk_officeesp-3des esp-md5-hmac

定義感興趣流:

access-list ipsec_*** extended permit ip 10.43.0.0 255.255.0.0 172.15.1.0 255.255.255.0

 

配置NAT豁免:

object network local-***-traffic

 subnet 10.43.0.0 255.255.0.0

object network hk-office-traffic

 subnet 172.15.1.0 255.255.255.0

nat (inside,outside) source staticlocal-***-traffic local-***-traffic destination static hk-office-traffichk-office-traffic

 

創建crypto map 調用第一、二階段(這裏必須使用動態map調用轉換集,然後用靜態map關聯):

crypto dynamic-map hkdymap 10 match addressipsec_***

crypto dynamic-map hkdymap 10 set pfs group5  \\這裏必須定義爲group1或group5

crypto dynamic-map hkdymap 10 set ikev1transform-set hk_office

crypto map ez***map 10 ipsec-isakmp dynamichkdymap

crypto map ez***map interface outside

crypto ikev1 enable outside


最後,流量觸發--自動建立***隧道(必須從動態一端觸發):

wKioL1lDfRWTa2qmAAAkidrZpOY299.png-wh_50


常用隧道查看命令:

show crypto isakmp sa 

show crypto ipsec sa

show crypto isakmp stats

show crypto ipsec stats




 

 


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

手動方式配置IPsec隧道

JMoyang 2019-02-22 22:52:53

利用IPSec實現網絡安全之二(禁用端口)

xubenxin 2019-02-22 22:28:19

IPsec封鎖端口

芥末花生 2019-02-22 22:23:46

IPsec***

GOD守望者 2019-02-22 21:02:00

IPsec *** 基礎實驗

6509E 2019-02-22 17:10:46

GRE over IPsec

卍僞裝卍 2019-02-22 16:36:27

Linux 字符界面下IPsec數據加密通信的實現方法

JLWangQ0Q 2019-02-22 16:06:02

Cisco ASA 5520 密碼恢復

xuan_90 2019-02-23 00:22:11

ASA防火牆基本配置

翰墨先生 2019-02-22 22:09:48

ASA 8.4(2)版本Ez***配置

菠蘿味咖啡 2019-02-22 20:34:26

防火牆對***造成的影響

51CTO阿森 2019-02-22 19:33:56

防火牆

毅熙 2019-02-22 17:57:05

有關ASA的Object-Group

315108559 2019-02-22 17:20:33

配置Cisco ASA 5500 系統日誌

極品黑加侖 2019-02-22 17:05:46

ASA的Twice-NAT實現anyconnect***地址池內網無路由的PAT

碧雲天 2019-02-22 15:56:41