思科CISCO ASA 5521 防火墙 Ipsec 配置详解

版本信息：

Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一样

 

 

2.1 默认路由

ASA-1(config)  route outside 0.0.0.0 0.0.0.0 100.0.0.2 1              #下一跳地址一般由运营商提供

2.2配置ISAKMP策略（第一阶段，协商IKE SA）

ASA1(config)#crypto ikev1 enable outside    #在外部接口启用ikev1秘钥管理协议

ASA1(config)#crypto ikev1 policy 1          #策略越高，调用优先级越高

ASA1(config-ikev1-policy)#encryption aes    #加密策略双方保持一致

ASA1(config-ikev1-policy)#hash sha         #哈希算法双方保持一致，用作签名，确保数据一致性

ASA1(config-ikev1-policy)#authentication pre-share     #预置秘钥认证，用来身份认证

ASA1(config-ikev1-policy)#group 2   #DH组2，使用的是 1024 位密钥，用来生成aes密钥加密和解密数据

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l    #预隧道类型为lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes   #红色部分为自定义的名字，这里为了方便记忆写成了对端IP地址，配置ipsec的属性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456   #红色部分为密钥，双方一致

#这一步主要协商如何对后续的IPSEC SA中所交换的密钥进行保护，对会话和隧道进行保护，保证后续的IPSEC 中所约定的密钥材料（加密方式 哈希方式）的安全
2，

 

2.3配置ACL （第二阶段开始，保护具体数据流）

ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#这里的acl列表好要和加密映射集的一致（本地-对端）

2.4配置IPSec策略（转换集 IPSEC SA）

ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

#这个配置主要是定义一个数据转换方式，所有的数据库按照转换集进行数据处理（用aes加密数据实现保密性，通过HMAC算法 使用一个密钥与消息数据一起通过哈希函数sha计算出一个值，用来做完整性校验）
#这一步协商如何对具体的数据流进行保护

2.5配置加密映射集

ASA1(config)#crypto map new-map 1 match address 100   #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1     #设置对端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set
#这三调命令的意思是，如果数据流匹配acl 100 且对端ip地址是200.0.0.1,则按照2.4new-set中所约定的规则进行数据转化

2.6将映射集应用在接口

ASA1(config)#crypto map new-map interface outside   #此处标签后边没有序列号
#将数据转换规则应用到端口，只有在该端口上才进行数据转化

 

2.7 NAT和NAT豁免

ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0  #定义本地的内网网段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface   #NAT重载




ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0      #定义对方的内网网段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote  #nat豁免，这句话的意思是，inside网段的地址访问remote网段的地址，就用相同的地址访问，不进行转换（全局模式下）

2.8 注意点

1、如果ASA接口的security-level相同则需要配置same-security-traffic permit inter-interface，否则安全级别相同的端口无法互相访问，VPN也不会通。

2、建议inside口的安全级别低于outside的安全级别，因为CISICO默认高安全级别可以访问低安全级别的接口

3、另一台服务器按照配置重新做一遍即可，注意对端地址的改变，map集set 和acl  名字可以不一样，但是加密方式和哈希这些必须保持一致。