IPSec的实现主要由两个阶段来完成:
--第一阶段,双方协商安全连接,建立一个已通过身份鉴别和安全保护的通道。
--第二阶段,安全协议用于保护数据的和信息的交换。

IPSec有两个安全协议:AH和ESP
AH主要用来对数据进行完整性校验和身份认证,ESP则提供机密性,数据完整性等安全服务。
无论是AH还是ESP都有涉及到了加密算法和验证算法,它们都由SA指定。

而它们的密钥有很多,这样就需要密钥管理机制ISAMKP (Internet密钥交换协议)

前提: 
  基本配置均已配置完成,网络工作正常
  上海asa对象
  object network OBJ-VLAN10      \\本地子网对象名称
    subnet 192.168.10.0 255.255.255.0  \\本地子网详情
  object network OBJ-IPSEC-BEIJING    \\对端子网对象名称
    subnet 192.168.20.0 255.255.255.0   \\对端子网详情
  
  北京asa对象
  object network OBJ-VLAN20        \\本地子网对象名称
    subnet 192.168.20.0 255.255.255.0    \\本地子网详情
  object network OBJ-IPSEC-SHANGHAI    \\对端子网对象名称
    subnet 192.168.10.0 255.255.255.0      \\对端子网详情
配置:
1. vpn流量免NAT配置(nat免流)
  nat (inside,outside) 1 source static OBJ-VLAN10 OBJ-VLAN10 destination static OBJ-IPSEC-BEIJING OBJ-IPSEC-BEIJING
      //此配置,优先级一定要高
  nat (inside,outside) 1   \\使用数字修改优先级
2. 配置vpn对等体及域共享密钥   -----隧道群
  tunnel-group 2.2.2.2 type ipsec-l2l    \\2.2.2.2表示对端公网ip
  tunnel-group 2.2.2.2 ipsec-attributes
   ikev1 pre-shared-key cisco123     \\ 域共享密钥为cisco123
3. 创建ISAMKP策略
 crypto ikev1 policy 10    \\启用并创建ISAMKP策略
  authentication pre-share    \\配置认证方式,为域共享密钥
  encryption aes-256       \\配置对称加密算法
  hash md5           \\配置信息摘要算法,校验算法
  group 2            \\  DH分组
  lifetime 86400        \\生存周期
4. 创建ipsec 流量匹配规则,acl
  access-list IPSEC-TO-BEIJING extended permit ip object OBJ-VLAN10 object OBJ-IPSEC-BEIJING  \\匹配vpn隧道流量
5. 定义转换集
  crypto ipsec ikev1 transform-set to-beijing esp-3des esp-md5-hmac    \\to-beijing 表示转换集的名称,可自定义
6. 创建加密图
  crypto map MAP-TO-BEIJING 10 match address IPSEC-TO-BEIJING  \\调用定义的acl
  crypto map MAP-TO-BEIJING 10 set peer 2.2.2.2            \\定义对端地址
  crypto map MAP-TO-BEIJING 10 set ikev1 transform-set to-beijing     \\调用转换集
  crypto map MAP-TO-BEIJING interface outside              \\ 将加密图在outside接口调用
7.  crypto ikev1 enable outside                      \\在outside接口启用ikev1 功能
& & & & & & & & & = = = = = = = = = = =
 & & & = = = = = =start  上海
 

 

Cisco asa组建IPSEC for ikev1的更多相关文章

  1. Cisco ASA 配置案例---anyconnect拨通后所有流量从服务器端出去

    一.目的: 1.Cisco ASA之Lan端能正常上网. 2.anyconnect端所有流量从Cisco ASA的Outside出去. 3.anyconnect端能访问Cisco ASA的Inside ...

  2. Cisco ASA使用证书加密

    使用ASDM配置HTTPS证书加密anyconnect连接 一.在没有使用证书的情况下每次连接VPN都会出现如下提示 ASA Version: 8.4.(1) ASDM Version: 6.4.(7 ...

  3. Cisco ASA端口映射

    Cisco ASA 端口映射设置 1.使用ASDM进入到配置页面,点开NAT Rules,然后新增Network Object,NAT选项如下图所示设定. 下图设定外网IP映射到内网IP地址192.1 ...

  4. Cisco ASA 高级配置

    Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:I ...

  5. Cisco asa 5510升级IOS和ASDM

    asa asa(config)# dir                                                                                 ...

  6. cisco ASA ios升级或恢复

    cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168 ...

  7. Cisco ASA 使用ASDM 配置管理口 方法

    CISCO ASA防火墙ASDM安装和配置 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过CRT或者超级终端连接ASA在用ASDM图形管理界面之前须在串口下输入一些命令开启 ...

  8. CISCO ASA 5505 经典配置案例

    nterface Vlan2 nameif outside  ----------------------------------------对端口命名外端口  security-level 0 -- ...

  9. CVE-2020-3452 CISCO ASA远程任意文件读取漏洞

    0x01 漏洞描述     Cisco官方 发布了 Cisco ASA 软件和 FTD 软件的 Web 接口存在目录遍历导致任意文件读取 的风险通告,该漏洞编号为 CVE-2020-3452.     ...

随机推荐

  1. 《C程序设计语言》练习1-5

    #include<stdio.h> /*修改温度转换程序,要求以逆序(即按照从300度到0度的顺序)打印温度转换表*/ main () { float fahr,celsius; int ...

  2. [LC] 149. Max Points on a Line

    Given n points on a 2D plane, find the maximum number of points that lie on the same straight line. ...

  3. 98)PHP,文件类型获取和创建文件夹

    看手册  finfo这个类:This class provides an object oriented interface into the fileinfo functions. 这个$mime_ ...

  4. 分辨率与px的关系

    此篇文章的目的用于打印套打的位置计算,顺便科普下知识: 1寸=2.54厘米 14寸=355.6毫米 15.6寸=39.624厘米=396.24毫米: 21寸=533.4毫米 21.7寸=551.18毫 ...

  5. php单例模式的常见应用场景

    单例模式(Singleton)也叫单态模式,是设计模式中最为简单的一种模式,甚至有些模式大师都不称其为模式,称其为一种实现技巧,因为设计模式讲究对象之间的关系的抽象,而单例模式只有自己一个对象,也因此 ...

  6. Qt static关键字全局变量

    创建全局变量.h文件 globalvariable.h #ifndef GLOBALVARIABLE_H #define GLOBALVARIABLE_H #include <QImage> ...

  7. python3下scrapy爬虫(第三卷:初步抓取网页内容之抓取网页里的指定数据)

    上一卷中我们抓取了网页的所有内容,现在我们抓取下网页的图片名称以及连接 现在我再新建个爬虫文件,名称设置为crawler2 做爬虫的朋友应该知道,网页里的数据都是用文本或者块级标签包裹着的,scrap ...

  8. python的列表list和集合set操作

    以下是一些python的list和set的基本操作 1.list的一些操作 list = [1, 2, 3] list.append(5) print(list) list.extend([7, 8] ...

  9. python列表推导式(扫盲)

    1) 简单了解: 所谓的列表推导式,就是指的轻量级循环创建列表. 格式: 列表推导式的常见形式: my_list = [ item for item in iterable] my_list: 列表名 ...

  10. 吴裕雄--天生自然 R语言开发学习:聚类分析

    #-------------------------------------------------------# # R in Action (2nd ed): Chapter 16 # # Clu ...