思科CISCO ASA 5521 防火墙 Ipsec 配置详解
版本信息:
Cisco Adaptive Security Appliance Software Version 9.9(2)
Firepower Extensible Operating System Version 2.3(1.84)
Device Manager Version 7.9(2)
老版本配置不一样
2.1 默认路由
ASA-1(config) route outside 0.0.0.0 0.0.0.0 100.0.0.2 1 #下一跳地址一般由运营商提供
2.2配置ISAKMP策略(第一阶段,协商IKE)
ASA1(config)#crypto ikev1 enable outside #在外部接口启用ikev1秘钥管理协议
ASA1(config)#crypto ikev1 policy 1 #策略越高,调用优先级越高
ASA1(config-ikev1-policy)#encryption aes #加密策略双方保持一致
ASA1(config-ikev1-policy)#hash sha #哈希算法双方保持一致,用作签名,确保数据一致性
ASA1(config-ikev1-policy)#authentication pre-share #预置秘钥认证
ASA1(config-ikev1-policy)#group 2
ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l #预隧道类型为lan to lan
ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes #红色部分为自定义的名字,这里为了方便记忆写成了对端IP地址,配置ipsec的属性
ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456 #红色部分为密钥,双方一致
2.3配置ACL (第二阶段开始,保护具体数据流)
ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
#这里的acl列表好要和加密映射集的一致(本地-对端)
2.4配置IPSec策略(转换集)
ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac
2.5配置加密映射集
ASA1(config)#crypto map new-map 1 match address 100 #匹配上面的acl
ASA1(config)#crypto map new-map 1 set peer 200.0.0.1 #设置对端的地址
ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set
2.6将映射集应用在接口
ASA1(config)#crypto map new-map interface outside #此处标签后边没有序列号
2.7 NAT和NAT豁免
ASA1(config)object network inside
ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0 #定义本地的内网网段
ASA1(config)object network inside
ASA1 (config-network-object)nat (inside,outside) dynamic interface #NAT重载
ASA1(config)object network remote
ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0 #定义对方的内网网段
ASA1(config)nat (inside,outside) source static inside inside destination static remote remote #nat豁免,这句话的意思是,inside网段的地址访问remote网段的地址,就用相同的地址访问,不进行转换(全局模式下)
2.8 注意点
1、如果ASA接口的security-level相同则需要配置same-security-traffic permit inter-interface,否则安全级别相同的端口无法互相访问,VPN也不会通。
2、建议inside口的安全级别低于outside的安全级别,因为CISICO默认高安全级别可以访问低安全级别的接口
3、另一台服务器按照配置重新做一遍即可,注意对端地址的改变,map集set 和acl 名字可以不一样,但是加密方式和哈希这些必须保持一致。
思科CISCO ASA 5521 防火墙 Ipsec 配置详解相关推荐
- cisco路由交换防火墙命令配置详解
Cisco路由器交换机防火墙配置命令详解 1.交换机支持的命令 交换机基本状态 switch: ;ROM状态, 路由器是rommon> hostname> ;用户模式 hostname# ...
- [精华]世界顶级防火墙LooknStop配置详解
世界顶级防火墙LooknStop配置详解 作者:小金 一. 难以驯服的烈马:LooknStop http://ike.126.com 网络防火墙的选择一直是众多用户最头痛的问题,放眼看看现在的 ...
- Cisco IPSec *** 配置详解
前言: ×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.I ...
- cisco asa(asa5510 设置)防火墙的配置详解
今天在一个客户那边配置的 asa5510(config)# asa5510(config)# show run : Saved : ASA Version 7.0(7) ! hostname asa ...
- CISCO ASA 5510 防火墙的配置实例
asa5510(config)# asa5510(config)# show run : Saved : ASA Version 7.0(7) ! hostname asa5510 主机名 domai ...
- 什么是微信防火墙_CentOS 7/8 预装的新型防火墙firewalld配置详解,你会用吗
请关注本头条号,每天坚持更新原创干货技术文章. 如需学习视频,请在微信搜索公众号"智传网优"直接开始自助视频学习 1. 前言 本文将会详细介绍CentOS 7 firewalld的 ...
- 华为防火墙通用配置详解
用户名:admin 密码;Admin@123 第一次配制时,可以设置本地IP自动获取.也可以设置成IP 192.168.0.X/255.255.255.0 (x=2-254) 防火墙的IP: 192. ...
- 思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙
思科ASA 5510配置教程 - 学习如何配置Cisco ASA 5510防火墙 继续我们的一系列关于思科ASA 5500防火墙的文章,我提供你在这里的基本配置教程思科ASA 5510安全设备.该设备 ...
- (ASA) Cisco Web ××× 配置详解 [三部曲之一]
(ASA) Cisco Web ××× 配置详解 [三部曲之一] 注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍. 首先,先来 ...
- ASA 5520 防火墙SSH配置
ASA 5520 防火墙 ssh 配置 用习惯telnet的朋友,不妨尝试一下SSh的登陆方式,在网络中传输传输密文,保证网络的安全性. 配置如下: 第一步,生成一个key ASA(config)# ...
最新文章
- 图形化客户端Navicat介绍和使用
- (NO.00003)iOS游戏简单的机器人投射游戏成形记(二)
- 树的最小支配集、最小点覆盖、最大独立集【模板】
- Node.js Promise.all 限制并发数量
- mysql停止服务命令_0789不停止MySQL服务重做备库的方法
- swiper轮播器的常用案例分析(swiper hover停止mouseover停止)
- 修改NavigationBar的分根线颜色
- mysql5.5和5.6版本间的坑
- 新拟物立体情人节主题图标来了,适合潮流现代的主题设计!
- 在Ubuntu系统中给应用创建快捷方式
- C-V2X行业现状、产业化部署与演进路线
- 供应链三道防线(读书笔记)4(共4)
- ubuntu 下的 dnw 下载安装和使用
- 邮箱地址是什么?什么是邮箱地址?电子邮箱地址大全
- Angular4与PrimeNG
- kindle如何设置不闪屏_疑问解答 | Kindle翻页为什么闪屏?
- oracle数据库ogg延迟,oracle goldengate ogg 源段传输进程lag延迟不断增加的原因?
- Android Studio 调试技巧大全
- 网络基础配置部署思路
- gsm模块 java 录音_Arduino从Quectel M95 GSM模块读取AT命令