ImageVerifierCode 换一换
格式:DOC , 页数:7 ,大小:36KB ,
资源ID:3083160      下载积分:10 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.docduoduo.com/d-3083160.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ASA IPSEC VPN配置.doc)为本站会员(weiwoduzun)主动上传,道客多多仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知道客多多(发送邮件至docduoduo@163.com或直接QQ联系客服),我们立即给予删除!

ASA IPSEC VPN配置.doc

1、ASA IPSEC VPN 配置一.IPSEC VPN (site to site)第一步:在外部接口启用 IKE 协商crypto isakmp enable outside 第二步:配置 isakmp 协商 策略isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share /配置认证方式为预共享密钥isakmp policy 5 encryption des /配置 isakmp 策略的加密算法isakmp policy 5 hash md5 /配置 isakmp 策略的哈希算法isakmp p

2、olicy 5 group 2 /配置 Diffie-Hellman 组isakmp policy 5 lifetime 86400 /默认的有效时间第三步:配置需要加密的数据流192.168.241.0 为本地内网地址,10.10.10.0 为对方内网地址access-list ipsec-vpn extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0 第四步:设置到对方私网地址的路由配置静态路由指向 outside 接口 x.x.x.x 为 ASA 防火墙 outside 接口地址route outsi

3、de 10.10.10.0 255.255.255.0 x.x.x.x 第五步:配置 ipsec 的数据转换格式集crypto ipsec transform-set my_trans esp-des esp-none 第六步:建立加密静态映射图crypto map vpn_to_test 10 match address ipsec-vpn /配置哪些数据流会启用 IPSEC 加密 crypto map vpn_to_test 10 set peer x.x.x.x /指定对端地址 x.x.x.x 为对端 VPN 公网地址crypto map vpn_to_test 10 set trans

4、form-set my_trans /建立加密静态映射图,加密格式引用数据转换格式集 my_trans(两边要一致)第七步:将加密静态映射图应用于外网接口crypto map vpn_to_test interface outside 第八步:建立 IPSEC VPN 隧道组 tunnel-group x.x.x.x type ipsec-l2l /建立 IPSEC VPN 隧道组类型tunnel-group x.x.x.x ipsec-attributes /配置 IPSEC VPN 隧道组参数pre-shared-key * /配置预共享密钥,两边要一致,否则第一阶段协商不起来二.IPSE

5、C VPN (client to site)第一步:配置地址池ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 /ipsec 拨入后的地址池第二步:配置隧道分离 ACLaccess-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any 第三步:配置访问控制 ACLaccess-list testipsec extended permit ip any 192.168.0.0 255.255.0.0 第四步:配置不走 NAT 的 ACLac

6、cess-list nonat-vpn extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0 nat (inside) 0 access-list nonat-vpn / 不走 NATcrypto isakmp enable outside /在外部接口启用 IKE 协商 第五步:配置 IKE 策略isakmp policy 5 authentication pre-share /配置认证方式为预共享密钥isakmp policy 5 encryption des /配置 isakmp 策略的加密算法isakmp

7、 policy 5 hash md5 /配置 isakmp 策略的哈希算法isakmp policy 5 group 2 /配置 Diffie-Hellman 组isakmp policy 5 lifetime 86400 /默认的有效时间第六步:配置组策略group-policy ipsectest internal /配置组策略group-policy ipsectest attributes /配置组策略属性vpn-filter value testipsec /设置访问控制vpn-tunnel-protocol IPSec /配置隧道协议split-tunnel-policy tunn

8、elspecified /建立隧道分离策略split-tunnel-network-list value split-ssl /配置隧道分离,相当于推送一张路由表第七步:设置 VPN 隧道组tunnel-group ipsectest type remote-access /设置 VPN 隧道组类型tunnel-group ipsectest general-attributes /设置 VPN 隧道组属性address-pool testipsec /设置地址池default-group-policy ipsectest /指定默认的组策略tunnel-group ipsectest ips

9、ec-attributes /设置 VPN 远程登入(即使用隧道分离) 的 ipsec 属性pre-shared-key * /设置共享密钥查看 IPSEC VPN 的相关信息基本命令show crypto isakmp sa /查看 IPSEC VPN isakmp(IPSEC 第一阶段)协商的结果show crypto ipsec sa peer X.X.X.X /查看 IPSEC 会话的相关信息(IPSEC 第二阶段)debug crypto ipsec /ipsec site to site 建立不起来的时候可使用 debug 命令来获取相关错误信息,通常 ASA 设备的 CPU 利用率都比较低,debug 命令可放心使用,具体情况区别对待IPSEC 第一阶段协商不起来的常见原因:peer 路由不通crypto iskmp key 没有设置或者不一致isakmp 的策略(IKE 策略)不匹配IPSEC 第二阶段协商不起来的常见原因:IPSEC 加密流不对称Ipsec 协商参数不一致

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报