ASA 5520(IOS version 8.4) IKEv2 IPSEC VPN实验配置

1.实验TOP图如下:

2.实验目的:

使用IKEv2实现点到点的IPSECVPN通信,即本示例中192.168.1.100和172.16.1.100之间实现VPN通信。

3.具体配置如下:

ASA1配置

interfaceGigabitEthernet0

nameif outside

security-level 0

ip address 11.1.1.2 255.255.255.0

!

interfaceGigabitEthernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

//以下是定义object,方便后面调用

objectnetwork Inside_network

subnet 192.168.1.0 255.255.255.0

objectnetwork Vpn_address  //定义VPN远端点的具体ip地址,即要实现点到点VPN的点ip

host 172.16.1.100

objectnetwork Inside_address  //定义VPN本端点的具体ip地址,即要实现点到点VPN的点ip

host 192.168.1.100

access-list110 extended permit ip any any

access-listVPN extended permit ip object Inside_address object Vpn_address //定义VPN兴趣流

nat(inside,outside) source static Inside_address Inside_address destination staticVpn_address Vpn_address  //VPN数据流和NAT分离

!

objectnetwork Inside_network

nat (inside,outside) dynamic interface  //设置PAT

access-group110 in interface outside

routeoutside 0.0.0.0 0.0.0.0 11.1.1.1 1

cryptoipsec ikev2 ipsec-proposal TRAN  //定义ipsec转换集

protocol esp encryption aes-256

protocol esp integrity md5

cryptomap TEST 10 match address VPN  //定义crypto map,此处的“VPN”便是刚才创建的VPN兴趣流的ACL的名称

cryptomap TEST 10 set peer 12.1.1.2 //设置VPN对端出口ip

cryptomap TEST 10 set ikev2 ipsec-proposal TRAN  //调用刚才创建的ipsec转换集

cryptomap TEST interface outside  //将其运用到outside端口

cryptoikev2 policy 10  //定义ikev2策略

encryption aes-256

integrity sha256 md5

group 2

prf sha256 md5

lifetime seconds 86400

cryptoikev2 enable outside //outside端口启用ikev2,这个很重要,如果不启用,其余都是浮云

tunnel-group12.1.1.2 type ipsec-l2l  //定义VPN隧道,类型为ipsec-l2l

tunnel-group12.1.1.2 ipsec-attributes  //定义VPN隧道属性

ikev2 remote-authentication pre-shared-key cisco

ikev2 local-authentication pre-shared-key cisco

ASA2配置:

interfaceGigabitEthernet0

nameif outside

security-level 0

ip address 12.1.1.2 255.255.255.0

!

interfaceGigabitEthernet1

nameif inside

security-level 100

ip address 172.16.1.1 255.255.255.0

objectnetwork Inside_network

subnet 172.16.1.0 255.255.255.0

objectnetwork Inside_address

host 172.16.1.100

objectnetwork Vpn_address

host 192.168.1.100

access-list110 extended permit ip any any

access-listVPN extended permit ip object Inside_address object Vpn_address

nat(inside,outside) source static Inside_address Inside_address destination staticVpn_address Vpn_address

!

objectnetwork Inside_network

nat (inside,outside) dynamic interface

access-group110 in interface outside

routeoutside 0.0.0.0 0.0.0.0 12.1.1.1 1

cryptoipsec ikev2 ipsec-proposal TRAN

protocol esp encryption aes-256

protocol esp integrity md5

cryptomap TEST 10 match address VPN

cryptomap TEST 10 set peer 11.1.1.2

cryptomap TEST 10 set ikev2 ipsec-proposal TRAN

cryptomap TEST interface outside

cryptoikev2 policy 10

encryption aes-256

integrity sha256 md5

group 2

prf sha256 md5

lifetime seconds 86400

cryptoikev2 enable outside

tunnel-group11.1.1.2 type ipsec-l2l

tunnel-group11.1.1.2 ipsec-attributes

ikev2 remote-authentication pre-shared-key cisco

ikev2 local-authentication pre-shared-key cisco

!

4.验证:从192.168.1.100上ping的结果,和172.16.1.100可以通,和172.16.1.200不通。

showcrypto ipsec sa的结果

时间: 2024-11-05 16:07:11

ASA 5520(IOS version 8.4) IKEv2 IPSEC VPN实验配置的相关文章

IPSEC VPN 的配置实例

詹柱美 一.实验拓扑: 二.实验要求: 保证两个站点的路由没问题. 在站点A与站点B间配置VPN,保障企业的网络通过互联网连接起来. 三.实验的配置: R1的全部配置: r1#show running-config Building configuration... Current configuration : 597 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug

Cisco 3640系列IPsec VPN简单配置

Cisco 3640系列IPsec VPN简单配置 实验拓扑图: 实验步骤: 第一步:配置路由 第二步:匹配的数据包流量(ACL,注意两端要对称) 第三步:IKE的第一阶段(称为 ISAKMP SA) 第四步:IKE的第二阶段(称为IPSEC SA) 第五步:MAP(第二.三.四步的结合) 第六步:应用配置到外网口 模拟Internet步骤如下: 1.路由配置 R1: Router>en Router#conft Enterconfiguration commands, one per line

GRE over IPSec VPN实验

GRE over IPSec VPN实验

IPSec VPN实验

IPSec VPN实验 实验拓扑: 实验目的:掌握IPSec VPN原理 掌握site-to-site VPN配置 IPSec配置参数: IKE policy isakmp key 转换集 加密算法 3DES 哈希算法 MessageDigest 5 认证方式 Pre-Shared Key Diffie-Hellman组 #2 (1024 bit) cisco 载荷加密算法esp-3des 载荷散列算法esp-sha-hmac 认证头 ah-sha-hmac 实验需求: 在R1.R2间配置sit

IPSec VPN经典配置

IPSec VPN配置命令 底层用静态路由连通 R2(config)#ip route 1.1.1.0 255.255.255.0 10.1.1.10 R2(config)#ip route 2.2.2.0 255.255.255.0 202.100.1.10 //这条路由在现实环境中由默认路由代替,由于1111到2222的数据包被加密,Internet上不会出现去往2222的明文数据包. R2(config)#ip route 61.128.1.0 255.255.255.0 202.100.

ip-sec VPN 基本配置实验

准备步骤: 1.给各路由器配置IP地址 2.R1 R3设置一条默认路由,R2只配IP地址,不做任何路由设置. R1: R1(config)#crypto isakmp enable     //开启ike阶段SA协商 R1(config)#crypto isakmp policy 10     //创建ike策略,10为序号,越小越优先. R1(config-isakmp)#authentication pre-share    //开启pre-share作为认证方式 R1(config-isa

IPSEC VPN

目录: 简介:... 2 分类:... 2 1.在路由上实现的VPN可分为:... 2 2.在ASA防火墙上实现的VPN:2 IPSec VPN:3 IPSec能实现的功能有:... 3 IPSec的特性(IPSec之所以安全是由它的特性决定的):... 3 IPSec的实施包含两个阶段... 4 IPSec协商过程:... 4 IPSec 范畴的VPN中各种形式的大体配置步骤:... 6 IPSEC VPN几种配置实例... 6 一.实验拓扑... 7 二.实验目的... 7 三.实验要求..

Ipsec VPN 配置实验

网络拓扑: R0配置: ISP>en ISP#sh run Building configuration... Current configuration : 707 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname ISP ! ! ! ! ! ! ! ! i

IPSEC VPN 基础原理

作为一个努力在IT一线奋斗的人,励志做到以下几点: 搬的了机器,玩的了系统,精通了协议,敲得了代码. --谨以此让自己不断努力! --------------------------------------------- 一.IPSEC框架: IPSEC封装: IP头部   传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 IP头部   IPSEC头部  传输层头部(TCP,UDP...) 应用层头部(HTTP,FTP,HTTPS) 应用层数据 由上可以