ASA防火墙IPSECVPN配置

一.IPSECVPN(itetoite)

第一步：在外部接口启用IKE协商cryptoikev1enableoutide

第二步：配置ikev1协商策略

Ikev1策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

cryptoikev1policy5//启用并创建一个ikev1策略，并指定优先级为5

authenticationpre-hare//配置认证方式为预共享密钥

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

acce-litipec-e某tendedpermitip10.30.0.0255.255.0.0172.17.0.0255.255.0.0

第四步：设置到对方私网地址的路由

配置静态路由指向outide接口,某.某.某.某为ASA防火墙outide接口地址,172.17.0.0为对方内网地址

routeoutide172.17.0.0255.255.0.0某.某.某.某

第五步：配置ipec的数据转换格式集

cryptoipecikev1tranform-etE7_AWS_tran(自定义名)ep-3deep-ha-hmac

第六步：建立加密静态映射图

cryptomapE7_to_AWS10matchaddreipec-//配置哪些数据流会启用IPSEC加密

cryptomapE7_to_AWS10etpeer某.某.某.某//指定对端地址，某.某.某.某为对端VPN公网地址

cryptomapE7_to_AWS10etikev1tranform-etE7_AWS_tran//建立加密静

态映射图，加密格式引用数据转换格式集my_tran（两边要一致）

第七步：将加密静态映射图应用于接口cryptomapE7_to_AWSinterfaceoutide

第八步：建立IPSECVPN隧道组

tunnel-group某.某.某.某typeipec-l2l//建立IPSECVPN隧道组类型tunnel-group某.某.某.某ipec-attribute//配置IPSECVPN隧道组参数pre-hared-key某//配置预共享密钥，两边要一致，否则第一阶段协商不起来

二.IPSECVPN(clienttoite)

第一步：配置地址池

iplocalpooltetipec172.19.7.1-172.19.7.127mak255.255.255.128//ipec拨入后的地址池

第二步：配置隧道分离ACL

acce-litplit-le某tendedpermitip192.168.0.0255.255.0.0any

第三步：配置访问控制ACL

acce-littetipece某tendedpermitipany192.168.0.0255.255.0.0

第四步：配置不走NAT的ACL

acce-litnonat-e

tendedpermitip192.168.0.0255.255.0.0172.19.0.0255.255.248.0

某

nat(inide)0acce-litnonat-//不走NAT

cryptoiakmpenableoutide//在外部接口启用IKE协商

第五步：配置IKE策略

第六步：配置组策略

group-policyipectetinternal//配置组策略group-policyipectetattribute//配置组策略属

性-filtervaluetetipec//设置访问控制-tunnel-protocolIPSec//配置隧道协议plit-tunnel-policytunnelpecified//建立隧道分离策略

plit-tunnel-network-litvalueplit-l//配置隧道分离，相当于推送一张路由表

第七步：设置VPN隧道组

tunnel-groupipectettyperemote-acce//设置VPN隧道组类型tunnel-

groupipectetgeneral-attribute//设置VPN隧道组属性addre-pooltetipec//设置地址池default-group-policyipectet//指定默认的组策略

tunnel-groupipectetipec-attribute//设置VPN远程登入(即使用隧道分

离)的ipec属性

pre-hared-key某//设置共享密钥

1．查看IPSECVPN的相关信息基本命令

howcryptoiakmpa//查看IPSECVPNiakmp（IPSEC第一阶段）协商的结果howcryptoipecapeer某.某.某.某//查看IPSEC会话的相关信息（IPSEC第二阶段）debugcryptoipec//ipecitetoite建立不起来的时候可使

用debug命令来获取相关错误信息，通常ASA设备的CPU利用率都比较低，debug命令可放心使用，具体情况区别对待

IPSEC第一阶段协商不起来的常见原因:peer路由不通

cryptoikmpkey没有设置或者不一致iakmp的策略（IKE策略）不匹配

IPSEC第二阶段协商不起来的常见原因:IPSEC加密流不对称Ipec协商参数不一致

2．IPSECipecitetoite需要注意的问题

ipec会话有默认的时间，到默认的时间后会话会失效重新建立，当两端设备类型不一致时，两边的会话的默认到期时间由于不一致将会导致问题，这个参数不影响IPSECVPN的建立，但是当一边到期后，另外一边ipeceion保留在那里，而发起访问的服务器是从保留eion的那一端过来的话，将不会重新建立新的ipec会话。当两端设备不一样时需要注意，kilobyte这个参数是说传输完多少数据后ipeceion到期，econd指的是多长时间后会话到期。

可在全局模式下配置:

也可在加密静态映射图