一.IPSEC *** (site to site)
第一步:在外部接口啓用IKE協商
crypto isakmp enable outside
第二步:配置isakmp協商策略
isakmp 策略兩邊要一致,可設置多個策略模板,只要其中一個和對方匹配即可
isakmp policy 5 authenticationpre-share //配置認證方式爲預共享密鑰
isakmp policy 5 encryption des //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2 //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400 //默認的有效時間
第三步:配置需要加密的數據流
192.168.241.0爲本地內網地址,10.10.10.0爲對方內網地址
access-list ipsec-*** extended permit ip192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0
第四步:設置到對方私網地址的路由
配置靜態路由指向outside接口x.x.x.x爲ASA防火牆outside接口地址
route outside 10.10.10.0 255.255.255.0x.x.x.x
第五步:配置ipsec的數據轉換格式集
crypto ipsec transform-set my_trans esp-desesp-none
第六步:建立加密靜態映射圖
crypto map ***_to_test 10 match addressipsec-*** //配置哪些數據流會啓用IPSEC加密
crypto map ***_to_test 10 set peerx.x.x.x //指定對端地址x.x.x.x爲對端***公網地址
crypto map ***_to_test 10 set transform-setmy_trans //建立加密靜態映射圖,加密格式引用數據轉換格式集my_trans(兩邊要一致)
第七步:將加密靜態映射圖應用於外網接口
crypto map ***_to_test interfaceoutside
第八步:建立IPSEC ***隧道組
tunnel-group x.x.x.x type ipsec-l2l //建立IPSEC ***隧道組類型
tunnel-group x.x.x.x ipsec-attributes //配置IPSEC ***隧道組參數
pre-shared-key * //配置預共享密鑰,兩邊要一致,否則第一階段協商不起來
二.IPSEC *** (client to site)
第一步:配置地址池
ip local pool testipsec172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec撥入後的地址池
第二步:配置隧道分離ACL
access-list split-ssl extended permit ip192.168.0.0 255.255.0.0 any
第三步:配置訪問控制ACL
access-list testipsec extended permit ipany 192.168.0.0 255.255.0.0
第四步:配置不走NAT的ACL
access-list nonat-*** extended permit ip192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-*** // 不走NAT
crypto isakmp enable outside //在外部接口啓用IKE協商
第五步:配置IKE策略
isakmp policy 5 authenticationpre-share //配置認證方式爲預共享密鑰
isakmp policy 5 encryption des //配置isakmp 策略的加密算法
isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法
isakmp policy 5 group 2 //配置Diffie-Hellman組
isakmp policy 5 lifetime 86400 //默認的有效時間
第六步:配置組策略
group-policy ipsectest internal //配置組策略
group-policy ipsectest attributes //配置組策略屬性
***-filter value testipsec //設置訪問控制
***-tunnel-protocol IPSec //配置隧道協議
split-tunnel-policy tunnelspecified //建立隧道分離策略
split-tunnel-network-list value split-ssl //配置隧道分離,相當於推送一張路由表
第七步:設置***隧道組
tunnel-group ipsectest typeremote-access //設置***隧道組類型
tunnel-group ipsectestgeneral-attributes //設置***隧道組屬性
address-pool testipsec //設置地址池
default-group-policy ipsectest //指定默認的組策略
tunnel-group ipsectestipsec-attributes //設置*** 遠程登入(即使用隧道分離)的ipsec屬性
pre-shared-key * //設置共享密鑰