ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site)

第一步:在外部接口启用IKE协商

crypto isakmp enable outside

第二步:配置isakmp协商策略

isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可

isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥

isakmp policy 5 encryption des            //配置isakmp 策略的加密算法

isakmp policy 5 hash md5                //配置isakmp 策略的哈希算法

isakmp policy 5 group 2                  //配置Diffie-Hellman组

isakmp policy 5 lifetime 86400             //默认的有效时间

第三步:配置需要加密的数据流

192.168.241.0为本地内网地址,10.10.10.0为对方内网地址

access-list ipsec-vpn extended permit ip192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0

第四步:设置到对方私网地址的路由

配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址

route outside 10.10.10.0 255.255.255.0x.x.x.x

第五步:配置ipsec的数据转换格式集

crypto ipsec transform-set my_trans esp-desesp-none

第六步:建立加密静态映射图

crypto map vpn_to_test 10 match addressipsec-vpn     //配置哪些数据流会启用IPSEC加密

crypto map vpn_to_test 10 set peerx.x.x.x       //指定对端地址x.x.x.x为对端VPN公网地址

crypto map vpn_to_test 10 set transform-setmy_trans   //建立加密静态映射图,加密格式引用数据转换格式集my_trans(两边要一致)

第七步:将加密静态映射图应用于外网接口

crypto map vpn_to_test interfaceoutside

第八步:建立IPSEC VPN隧道组

tunnel-group x.x.x.x  type ipsec-l2l              //建立IPSEC VPN隧道组类型

tunnel-group x.x.x.x  ipsec-attributes            //配置IPSEC VPN隧道组参数

pre-shared-key *                            //配置预共享密钥,两边要一致,否则第一阶段协商不起来

二.IPSEC  VPN (client to site)

第一步:配置地址池

ip local pool testipsec172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec拨入后的地址池

第二步:配置隧道分离ACL

access-list split-ssl extended permit ip192.168.0.0 255.255.0.0 any

第三步:配置访问控制ACL

access-list testipsec extended permit ipany 192.168.0.0 255.255.0.0

第四步:配置不走NAT的ACL

access-list nonat-vpn extended permit ip192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

nat (inside) 0 access-list nonat-vpn  // 不走NAT

crypto isakmp enable outside  //在外部接口启用IKE协商

第五步:配置IKE策略

isakmp policy 5 authenticationpre-share  //配置认证方式为预共享密钥

isakmp policy 5 encryption des            //配置isakmp 策略的加密算法

isakmp policy 5 hash md5                  //配置isakmp 策略的哈希算法

isakmp policy 5 group 2                   //配置Diffie-Hellman组

isakmp policy 5 lifetime 86400            //默认的有效时间

第六步:配置组策略

group-policy ipsectest internal            //配置组策略

group-policy ipsectest attributes            //配置组策略属性

vpn-filter value testipsec                 //设置访问控制

vpn-tunnel-protocol IPSec                //配置隧道协议

split-tunnel-policy tunnelspecified          //建立隧道分离策略

split-tunnel-network-list value split-ssl          //配置隧道分离,相当于推送一张路由表

第七步:设置VPN隧道组

tunnel-group ipsectest typeremote-access   //设置VPN隧道组类型

tunnel-group ipsectestgeneral-attributes     //设置VPN隧道组属性

address-pool testipsec                   //设置地址池

default-group-policy ipsectest             //指定默认的组策略

tunnel-group ipsectestipsec-attributes       //设置VPN 远程登入(即使用隧道分离)的ipsec属性

pre-shared-key *                         //设置共享密钥

时间: 2024-10-13 17:06:53

ASA防火墙IPSEC VPN配置的相关文章

华为USG防火墙 IPsec VPN配置

实验拓扑 使用华为ensp 1.2.00.370模拟器 实验需求 USG-1和USG-2模拟企业边缘设备,分别在2台设备上配置NAT和IPsec VPN实现2边私网可以通过VPN互相通信 实验配置 R1 IP地址配置省略 USG-1配置 [USG-1]firewall zone trust          //配置trust区域 [USG-1-zone-trust]add interface g0/0/0    //将接口加入trust区域 [USG-1-zone-trust]quit [US

ASA防火墙ipsec vpn

crypto isakmp enable outside crypto isakmp policy 1 encryption 3des|des|aes hash sha|md5 authentication pre-share|rsa-encr|rsa-sig group 1|2|5 lifetime 120- access-list 100-199 permit|deny ip crypto isakmp key abc123 address 192.168.1.1 crypto ipsec

ASA防火墙IPSEC

                                      实验ASA防火墙IPSEC 实验步骤: 1.首先在R1,R2,R3配置ip地址,R1和R3配置默认路由 2.配置ASA1 和 ASA 2 首先ASA1初始化 然后改下名字,在配置接口名称和IP地址以及默认路由和静态路由 首先开启ISAKMP/IKE 在配置第一个阶段安全策略(优先级别为1,注意:数字越小就越大) 定义五个要素:定义加密(encryption),定义哈希验证(hash)定义身份验证( authentcati

ipsec vpn配置

ipsec  vpn分为场点到场带点ipsec vpn和远程接入客户ip sec  vpn 一.场点到场点 1.配置预共享密钥 ctypto  isakmp   key   cisco    address    10.1.1.1 2. 配置ike策略 ctypto   isakmp   policy   10 hash   md5 authentication    pre-share 3.配置ipsec  变换集 crypto   ipsec   transform-set    trans

基于数字证书认证的 IPSec VPN 配置

一.数字证书的相关术语 1.数字签名 数字签名基于哈希算法和公钥加密算法,对明文报文先用哈希算法计算摘要,然后用私钥对摘要进行加密,得到的一段数字串就是原文的数字签名数字签名与原文一起传送给接收者.接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比.如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性. 2.数字证书 数字证书是由权威机构发行的,用来证明自己的身份和验

juniper防火墙 L2TP VPN配置

juniper防火墙 L2TP  VPN配置 建立L2TP_POOL 创建连接的用户: 创建用户组: 更改L2TP的连接池: 更改L2TP的隧道: 设置防火墙的策略: Win7连接:

IPSEC VPN配置实例

TL-R400VPN应用--IPSEC VPN配置实例 TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN.IP/MAC 地址绑定.常见攻击防护.访问控制列表.QQ/MSN/迅雷/金融软件限制.IP带宽控制.连接数限制及电子公告等功能,适合企业.小区.酒店等组建安全.高效.易管理的网络. TL-R400vpn是TP-LINK专为企业分支机构接入IPSEC vpn网络而开发的专用VPN路由器,支持5条IPSec VPN隧道

Cisco IPSec VPN 配置详解

前言: VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.IPSEC引进了完整的安全机制,包括加密.认证和数据防篡改功能. IPsec的协商分为两个阶段: 第一阶段:验证对方,协商出IKE SA ,保护第二阶段IPSEC Sa协商过程 第二阶段:保护具体的数据流 拓扑如下 配置IPSec VPN 常规的步骤如下(建议复制下来): 启用IKE 配置第一阶段策略    /

asa防火墙ipsec lan-lan vpn综合案例解析

我们来介绍Router与ASA之间配置LAN-to-LANVPN,即Router-to-ASA LAN-to-LANVPN 来加深对防火墙以及ipsec LAN-to-LANVPN的理解 实验环境拓扑如下: 说明:我们下面需要以上图的环境来演示LAN-to-LANVPN的效果,其中两个远程公司的网络上海和北京,如R5与R4之间需要直接使用私有地址来互访,比如R5通过直接访问地址192.168.1.4来访问R4,而R2则相当于Internet路由器,R2只负责让R1与ASA能够通信,R2不会配置任