2024年5月25日发(作者:)
一.IPSEC
crypto isakmp enable outside
VPN(sitetosite)
第一步:在外部接口启用IKE协商
第二步:配置isakmp协商策略
isakmp策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可
isakmppolicy5authenticationpre-share
PSECVPN(clientto
site)
第一步:配置地址池
拨入后的地址池
第二步:配置隧道分离ACL
第三步:配置访问控制ACL
第四步:配置不走NAT的ACL
nat (inside) 0 access-list nonat-vpn//不走NAT
crypto isakmp enable outside//在外部接口启用IKE协商
第五步:配置IKE策略
isakmp policy 5 authentication pre-share//配置认证方式为预共享密钥
isakmp policy 5 encryptiondes
isakmp policy 5 hashmd5
isakmp policy 5 group2
isakmp policy 5 lifetime86400
第六步:配置组策略
group-policy ipsectest internal
group-policy ipsectest attributes
vpn-filter value testipsec
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-ssl
张路由表
第七步:设置VPN隧道组
tunnel-group ipsectest type remote-access
tunnel-group ipsectest general-attributes
//设置VPN隧道组类型
//设置VPN隧道组属性
//配置组策略
//配置组策略属性
//设置访问控制
//配置隧道协议
//建立隧道分离策略
//配置隧道分离,相当于推送一
//配置isakmp策略的加密算法
//配置isakmp策略的哈希算法
//配置Diffie-Hellman组
//默认的有效时间
address-pool testipsec
default-group-policy ipsectest
tunnel-group ipsectest ipsec-attributes
pre-shared-key *
1.查看IPSECVPN的相关信息基本命令
//设置地址池
//指定默认的组策略
//设置VPN远程登入(即使用隧道分
离)的ipsec属性
//设置共享密钥
show crypto isakmp sa//查看IPSEC VPNisakmp(IPSEC第一阶段)协商的结果
看IPSEC会话的相关信息(IPSEC第二阶段)
debug crypto ipsec//ipsec site to site建立不起来的时候可使
用debug命令来获取相关错误信息,通常ASA设
备的CPU利用率都比较低,debug命令可放心使
用,具体情况区别对待
IPSEC第一阶段协商不起来的常见原因:
peer路由不通
crypto iskmp key没有设置或者不一致
isakmp的策略(IKE策略)不匹配
IPSEC第二阶段协商不起来的常见原因:
IPSEC加密流不对称
Ipsec协商参数不一致
2.IPSEC ipsec site to site需要注意的问题
ipsec会话有默认的时间限制,到默认的时间后会话会失效重新建立,当两端
设备类型不一致时,两边的会话的默认到期时间由于不一致将会导致问题,这个
参数不影响IPSEC VPN的建立,但是当一边到期后,另外一边ipsec session
保留在那里,而发起访问的服务器是从保留session的那一端过来的话,将不会
重新建立新的ipsec会话。当两端设备不一样时需要注意,kilobytes这个参数
是说传输完多少数据后ipsec session到期,seconds指的是多长时间后会话
到期。
可在全局模式下配置:
crypto ipsec security-association lifetime kilobytes *
crypto ipsec security-association lifetime seconds *
也可在加密静态映射图
crypto map abcmap 1 set security-association lifetime seconds *
crypto map abcmap 1 set security-association lifetime kilobytes *
发布评论