IPSec ×××基于ASA的配置
实现 某软件开发公司在中小城市建立了分公司,
分公司开发项目小组所在网络地址为 10.1.1.0/24,
该网络的主机可以通过×××访问总公司开发数据服务器(192.168.1.0/24)。
分公司的其他客户端(10.2.2.0/24网段)可以访问Internet。
根据上述需求,网络管理员需要在分公司的ASA1上同时配置×××和PAT。

IPSec ***基于ASA的配置(思科)

1.分公司的ASA1
路由方面的配置 route outside 0.0.0.0 0.0.0.0 200.0.0.2
配置ISAKMP策略
ASA1(config)#crypto ikev1 enable outside
ASA1(config)#crypto ikev1 policy 1
ASA1(config-ikev1-policy)#encryption aes
ASA1(config-ikev1-policy)#hash sha
ASA1(config-ikev1-policy)#authentication pre-share
ASA1(config-ikev1-policy)#group 2
R1(config)#crypto isakmp key tedu address 200.0.0.1
//之前在路由器上的这条命令在防 火墙上变成以下配置:
ASA1 (config)# tunnel-group 200.0.0.2 type ipsec-l2l

ASA1 (config)# tunnel-group 200.0.0.2 ipsec-attributes
ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu
配置ACL
ASA1(config)#access-list 100 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 225.255.255.0
配置IPSec策略(转换集)
ASA1(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集 ASA1(config)#crypto map yf-map 1 match address 100 ASA1(config)#crypto map yf-map 1 set peer 200.0.0.2
ASA1(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口
ASA1(config)#crypto map yf-map interface outside

2.总公司的ASA2
路由方面的配置 route outside 0.0.0.0 0.0.0.0 200.0.0.1
配置ISAKMP策略
ASA2(config)#crypto ikev1 enable outside
ASA2(config)#crypto ikev1 policy 1
ASA2(config-ikev1-policy)#encryption aes
ASA2(config-ikev1-policy)#hash sha
ASA2(config-ikev1-policy)#authentication pre-share
ASA2(config-ikev1-policy)#group 2
ASA2 (config)# tunnel-group 200.0.0.1 type ipsec-l2l
ASA2 (config)# tunnel-group 200.0.0.1 ipsec-attributes
ASA2 (config-tunnel-ipsec)# ikev1 pre-shared-key tedu

配置ACL
ASA2(config)#access-list 100 permit ip 192.168.1.0 225.255.255.0 10.1.1.0 255.255.255.0

配置IPSec策略(转换集)
ASA2(config)#crypto ipsec ikev1 transform-set yf-set esp-aes esp-sha-hmac

配置加密映射集
ASA2(config)#crypto map yf-map 1 match address 100
ASA2(config)#crypto map yf-map 1 set peer 200.0.0.1
ASA2(config)#crypto map yf-map 1 set ikev1 transform-set yf-set

将映射集应用在接口
ASA2(config)#crypto map yf-map interface outside

测试: Client1访问Server1的Web

4.查看管理连接SA的状态

ASA1(config)# sh crypto isakmp sa

IKEv1 SAs:
Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1

1 IKE Peer: 200.0.0.2 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

clear crypto isakmp sa //清除

8.PAT方面的配置
ASA1(config)# object network ob-inside2
ASA1(config-network-object)# subnet 10.2.2.0 255.255.255.0
ASA1(config-network-object)# nat (inside2,outside) dynamic interface
PC1上网测试:ping 200.0.0.2

物理机抓包
IPSec ***基于ASA的配置(思科)