ASA IPSEC VPN配置.doc

1、ASA IPSEC VPN配置一.IPSEC VPN (site to site)第一步：在外部接口启用IKE协商crypto isakmp enable outside 第二步：配置isakmp协商 策略isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share /配置认证方式为预共享密钥isakmp policy 5 encryption des /配置isakmp 策略的加密算法isakmp policy 5 hash md5 /配置isakmp 策略的哈希算法isakmp policy 5

2、 group 2 /配置Diffie-Hellman组isakmp policy 5 lifetime 86400 /默认的有效时间第三步：配置需要加密的数据流192.168.241.0为本地内网地址，10.10.10.0为对方内网地址access-list ipsec-vpn extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0 第四步：设置到对方私网地址的路由配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址route outside 10.10.10.0 255.2

3、55.255.0 x.x.x.x 第五步：配置ipsec的数据转换格式集crypto ipsec transform-set my_trans esp-des esp-none 第六步：建立加密静态映射图crypto map vpn_to_test 10 match address ipsec-vpn /配置哪些数据流会启用IPSEC加密 crypto map vpn_to_test 10 set peer x.x.x.x /指定对端地址x.x.x.x为对端VPN公网地址crypto map vpn_to_test 10 set transform-set my_trans /建立加密静态映射

4、图，加密格式引用数据转换格式集my_trans（两边要一致）第七步：将加密静态映射图应用于外网接口crypto map vpn_to_test interface outside 第八步：建立IPSEC VPN隧道组 tunnel-group x.x.x.x type ipsec-l2l /建立IPSEC VPN隧道组类型tunnel-group x.x.x.x ipsec-attributes /配置IPSEC VPN隧道组参数pre-shared-key * /配置预共享密钥，两边要一致，否则第一阶段协商不起来二.IPSEC VPN (client to site)第一步：配置地址池ip

5、local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 /ipsec拨入后的地址池第二步：配置隧道分离ACLaccess-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any 第三步：配置访问控制ACLaccess-list testipsec extended permit ip any 192.168.0.0 255.255.0.0 第四步：配置不走NAT的ACLaccess-list nonat-vpn extended permit ip 1

6、92.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0 nat (inside) 0 access-list nonat-vpn / 不走NATcrypto isakmp enable outside /在外部接口启用IKE协商 第五步：配置IKE策略isakmp policy 5 authentication pre-share /配置认证方式为预共享密钥isakmp policy 5 encryption des /配置isakmp 策略的加密算法isakmp policy 5 hash md5 /配置isakmp 策略的哈希算法isakmp pol

7、icy 5 group 2 /配置Diffie-Hellman组isakmp policy 5 lifetime 86400 /默认的有效时间第六步：配置组策略group-policy ipsectest internal /配置组策略group-policy ipsectest attributes /配置组策略属性vpn-filter value testipsec /设置访问控制vpn-tunnel-protocol IPSec /配置隧道协议split-tunnel-policy tunnelspecified /建立隧道分离策略split-tunnel-network-list va

8、lue split-ssl /配置隧道分离，相当于推送一张路由表第七步：设置VPN隧道组tunnel-group ipsectest type remote-access /设置VPN隧道组类型tunnel-group ipsectest general-attributes /设置VPN隧道组属性address-pool testipsec /设置地址池default-group-policy ipsectest /指定默认的组策略tunnel-group ipsectest ipsec-attributes /设置VPN 远程登入(即使用隧道分离)的ipsec属性pre-shared-ke

9、y * /设置共享密钥查看IPSEC VPN的相关信息基本命令show crypto isakmp sa /查看IPSEC VPN isakmp（IPSEC第一阶段）协商的结果show crypto ipsec sa peer X.X.X.X /查看IPSEC 会话的相关信息（IPSEC第二阶段）debug crypto ipsec /ipsec site to site建立不起来的时候可使用debug命令来获取相关错误信息，通常ASA设备的CPU利用率都比较低，debug命令可放心使用，具体情况区别对待IPSEC第一阶段协商不起来的常见原因:peer路由不通crypto iskmp key没有设置或者不一致isakmp的策略（IKE策略）不匹配IPSEC第二阶段协商不起来的常见原因:IPSEC加密流不对称Ipsec协商参数不一致