ASA之间建立IPsec-VPN(Dynamic site-to-site static)【一边固定IP、一边动态IP】
网络拓扑:
ASA动态端:
第一阶段:8.4(2)版本及以上的ASA支持2个版本的IKE,所以在定义密钥的交互形式的时候我们选择IKEV1,主要是路由器没有对应的IKEV2的版本:
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hashmd5
group 2
lifetime 28800
tunnel-group 123.123.10.1 type ipsec-l2l //定义VPN的形式以peer
tunnel-group 123.123.10.1 ipsec-attributes //进入ipsec-vpn的属性配置
ikev1 pre-shared-key *****
第二阶段:主要用于如何安全的交互数据。这里我们采用3des来加密数据,同时哈希算法使用MD5,要想实现L2L的IPSEC-VPN,VPN的模式务必使用tunnel 模式,默认情况下IPSEC-VPN工作在tunnel模式:
crypto ipsec ikev1 transform-set officehkesp-3des esp-md5-hmac
定义感兴趣流:感兴趣流一定要写明细的条目,不能为any字样,否则VPN无法建立。同时两边的感兴趣流务必对称:
access-list ipsec_vpn extended permit ip 172.15.1.0 255.255.255.0 10.43.0.0 255.255.255.0
配置NAT豁免:主要作用于去往隧道加密的流量不被NAT
object network local-vpn-traffic
subnet 172.15.1.0 255.255.255.0
object network remote-vpn-traffic
subnet 10.43.0.0 255.255.255.0
nat (inside,outside) source static local-vpn-trafficlocal-vpn-traffic destination static remote-vpn-traffic remote-vpn-traffic
创建crypto map 调用第一、二阶段:
crypto map ipsec-map 10 match addressipsec_vpn
crypto map ipsec-map 10 set pfs group5
crypto map ipsec-map 10 set peer 123.123.10.1
crypto map ipsec-map 10 set ikev1transform-set officehk
公网outside接口调用crypto map :
crypto map ipsec-map interface outside
crypto ikev1 enable outside
ASA静态端:
第一阶段:
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hashmd5
group 2
lifetime 86400
tunnel-group DefaultL2LGroup ipsec-attributes \\这里必须使用系统默认的组来做动态L2L
ikev1 pre-shared-key *****
第二阶段:
crypto ipsec ikev1 transform-set hk_officeesp-3des esp-md5-hmac
定义感兴趣流:
access-list ipsec_vpn extended permit ip 10.43.0.0 255.255.0.0 172.15.1.0 255.255.255.0
配置NAT豁免:
object network local-vpn-traffic
subnet 10.43.0.0 255.255.0.0
object network hk-office-traffic
subnet 172.15.1.0 255.255.255.0
nat (inside,outside) source staticlocal-vpn-traffic local-vpn-traffic destination static hk-office-traffichk-office-traffic
创建crypto map 调用第一、二阶段(这里必须使用动态map调用转换集,然后用静态map关联):
crypto dynamic-map hkdymap 10 match addressipsec_vpn
crypto dynamic-map hkdymap 10 set pfs group5
crypto dynamic-map hkdymap 10 set ikev1transform-set hk_office
crypto map ezvpnmap 10 ipsec-isakmp dynamichkdymap
crypto map ezvpnmap interface outside
crypto ikev1 enable outside
最后,流量触发--自动建立VPN隧道(必须从动态一端触发):
常用隧道查看命令:
show crypto isakmp sa
show crypto ipsec sa
show crypto isakmp stats
show crypto ipsec stats