版本信息:

Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一样

2.1 默认路由

ASA-1(config)  route outside 0.0.0.0 0.0.0.0 100.0.0.2 1              #下一跳地址一般由运营商提供

2.2配置ISAKMP策略(第一阶段,协商IKE)

ASA1(config)#crypto ikev1 enable outside    #在外部接口启用ikev1秘钥管理协议

ASA1(config)#crypto ikev1 policy 1          #策略越高,调用优先级越高

ASA1(config-ikev1-policy)#encryption aes    #加密策略双方保持一致

ASA1(config-ikev1-policy)#hash sha         #哈希算法双方保持一致,用作签名,确保数据一致性

ASA1(config-ikev1-policy)#authentication pre-share     #预置秘钥认证

ASA1(config-ikev1-policy)#group 2

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l    #预隧道类型为lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes   #红色部分为自定义的名字,这里为了方便记忆写成了对端IP地址,配置ipsec的属性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456   #红色部分为密钥,双方一致

2.3配置ACL (第二阶段开始,保护具体数据流)

ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#这里的acl列表好要和加密映射集的一致(本地-对端)

2.4配置IPSec策略(转换集)

ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

2.5配置加密映射集

ASA1(config)#crypto map new-map 1 match address 100   #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1     #设置对端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set

2.6将映射集应用在接口

ASA1(config)#crypto map new-map interface outside   #此处标签后边没有序列号

2.7 NAT和NAT豁免

ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0  #定义本地的内网网段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface   #NAT重载

ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0      #定义对方的内网网段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote  #nat豁免,这句话的意思是,inside网段的地址访问remote网段的地址,就用相同的地址访问,不进行转换(全局模式下

2.8 注意点

1、如果ASA接口的security-level相同则需要配置same-security-traffic permit inter-interface,否则安全级别相同的端口无法互相访问,VPN也不会通。

2、建议inside口的安全级别低于outside的安全级别,因为CISICO默认高安全级别可以访问低安全级别的接口

3、另一台服务器按照配置重新做一遍即可,注意对端地址的改变,map集set 和acl  名字可以不一样,但是加密方式和哈希这些必须保持一致。

思科CISCO ASA 5521 防火墙 Ipsec 配置详解的更多相关文章

  1. linux下IPTABLES配置详解 (防火墙命令)

    linux下IPTABLES配置详解 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT ...

  2. OpenVPN CentOS7 安装部署配置详解

    一 .概念相关 1.vpn 介绍 vpn 虚拟专用网络,是依靠isp和其他的nsp,在公共网络中建立专用的数据通信网络的技术.在vpn中任意两点之间的链接并没有传统的专网所需的端到端的物理链路,而是利 ...

  3. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  4. tomcat的配置详解:[1]tomcat绑定域名

    转自:http://jingyan.baidu.com/article/7e440953dc096e2fc0e2ef1a.html tomcat的配置详解:[1]tomcat绑定域名分步阅读 在jav ...

  5. CentOS6.5下VNC Server远程桌面配置详解

    参考文献: (总结)CentOS Linux下VNC Server远程桌面配置详解 远程桌面连接工具VNC——license Key 我的下载地址为 太平洋下载 VNC连接黑屏的问题 centos 6 ...

  6. Linux - CentOS6.5服务器搭建与初始化配置详解(下)

    传送带:Linux - CentOS6.5服务器搭建与初始化配置详解(上) 继续接着上面的安装,安装完后会出现下面界面 点击reboot重启 重启后可以看到下面的tty终端界面  因为这就是最小化安装 ...

  7. nginx与fastdfs配置详解与坑

    nginx与fastdfs配置详解与坑 环境 ubantu19.04 fastdfs-5.11 fastdfs-nginx-module-1.20 libfastcommon-1.0.39 nginx ...

  8. Mysql系列五:数据库分库分表中间件mycat的安装和mycat配置详解

    一.mycat的安装 环境准备:准备一台虚拟机192.168.152.128 1. 下载mycat cd /softwarewget http:-linux.tar.gz 2. 解压mycat tar ...

  9. nginx在linux上的安装与配置详解(一)

    Nginx的安装与配置详解 (1)nginx简介     nginx概念: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like ...

随机推荐

  1. Java基础系列5:Java代码的执行顺序

    该系列博文会告诉你如何从入门到进阶,一步步地学习Java基础知识,并上手进行实战,接着了解每个Java知识点背后的实现原理,更完整地了解整个Java技术体系,形成自己的知识框架. 一.构造方法 构造方 ...

  2. 为什么我加了索引,SQL执行还是这么慢(一)?

    在MySQL中,有一些语句即使逻辑相同,执行起来的性能差异确实极大的. 先抛出一个结论:如果想使用索引树搜索功能,就不能使用数据库函数来处理索引字段值,而是在不改变索引字段值的同时,自己通过SQL语句 ...

  3. java遍历一个实体

    //遍历order,得到属性值不为空的属性,type:操作类型.0是新增,1是更新 private Map<String, Object> reflect(Order order,Stri ...

  4. SSE图像算法优化系列三十:GIMP中的Noise Reduction算法原理及快速实现。

    GIMP源代码链接:https://gitlab.gnome.org/GNOME/gimp/-/archive/master/gimp-master.zip GEGL相关代码链接:https://gi ...

  5. 深入理解 PHP 的 7 个预定义接口

    深入理解预定义接口 场景:平常工作中写的都是业务模块,很少会去实现这样的接口,但是在框架里面用的倒是很多.   1. Traversable(遍历)接口 该接口不能被类直接实现,如果直接写了一个普通类 ...

  6. (C#)WPF:.h(头文件)、.lib(静态链接库文件)和.dll(动态链接库文件)之间的区别与联系

    静态链接库(Lib)与动态链接库(DLL)的区别 静态连接库就是把(lib)文件中用到的函数代码直接链接进目标程序,程序运行的时候不再需要其它的库文件:动态链接就是把调用的函数所在文件模块(DLL)和 ...

  7. 在C\C++中char 、short 、int各占多少个字节

    在C\C++中char .short .int各占多少个字节 : #include <bits/stdc++.h> using namespace std; int main() { co ...

  8. nyoj 35-表达式求值(stack, 栈的应用)

    35-表达式求值 内存限制:64MB 时间限制:3000ms Special Judge: No accepted:37 submit:53 题目描述: ACM队的mdd想做一个计算器,但是,他要做的 ...

  9. 学习记录:《C++设计模式——李建忠主讲》5.“对象性能”模式

    对象性能模式:面向对象很好地解决了抽象地问题,但是必不可免地要付出一定地代价.对于通常情况来讲,面向对象地成本大都可以忽略不计,但某些情况,面向对象所带来地成本必须谨慎处理. 典型模式:单件模式(Si ...

  10. Web Scraper 翻页——利用 Link 选择器翻页 | 简易数据分析 14

    这是简易数据分析系列的第 14 篇文章. 今天我们还来聊聊 Web Scraper 翻页的技巧. 这次的更新是受一位读者启发的,他当时想用 Web scraper 爬取一个分页器分页的网页,却发现我之 ...