某公司设备和ciscoASA防火墙均为网关模式部署,固定IP,标准IPSEC主模式对接,cisco命令中斜体表示一个变量,可以自行进行替换。
cisco ASA防火墙VPN部分配置命令及解释如下:
conf t //进入特权模式进行配置
crypto isakmp policy 10 authentication pre-share //创建一个ipsec第一阶段策略,预共享密钥方式认证
crypto isakmp policy 10 encryption aes //创建ipsec第一阶段加密算法
crypto isakmp policy 10 hash sha //创建第一阶段的认证算法
crypto isakmp policy 10 group 2 //创建第一阶段的安全组
crypto isakmp policy 10 lifetime 28800 //创建第一阶段的生存期
crypto ipsec transform-set sangforvpn esp-aes esp-sha-hmac //创建变换集(第二阶段),设置传输协议、加密方式和认证方式
access-list 110 extended permit ip 192.168.10.0255.255.255.0 10.1.0.0 255.255.0.0 //创建扩展ACL(出入站)指定访问的源和目的
tunnel-group 219.5.71.10 type ipsec-l2l //创建本端公网IP地址的ipsec类型为l2l类型(ASA7.2等部分版本此条命令需配置为对端IP地址类型为L2L)
tunnel-group 219.5.71.10 ipsec-attributes //创建本端公网IP地址的ipsec属性为预共享并设置密钥为123456(ASA7.2等部分版本此条命令需配置为对端IP地址验证类型为预共享密钥)
pre-shared-key 123456 //设置预共享方式的密钥为123456
exit
crypto map sangfor_map 10 match address 110 //创建映射图,匹配之前设置的ACL
crypto map sangfor_map 10 set peer 58.5.4.5 //创建映射图,并指定VPN对端公网IP
crypto map sangfor_map 10 set transform-set sangforvpn //创建映射图,绑定之前创建的变换集
crypto map sangfor_map interface outside //创建映射图,绑定VPN的出接口为outside口
crypto isakmp enable outside //在出接口上启用ipsec功能
crypto isakmp identity address //指定ipsec使用IP地址作为身份认证类型,否则cisco会默认使用身份ID,而我方设备主模式下不支持身份ID,会导致无法正常建立IPSEC连接
nat (inside) 0 access-list 110 //创建NAT规则,对于符合ACL规则的IPSEC数据不做NAT,需要注意,如果客户还有其他的代理上网NAT已经使用了第0号规则(比如nat (inside) 0 0 0),那么需要保证创建这条规则之后再创建一条代理上网NAT规则(比如nat (inside) 1 0 0),如果客户处原来代理上网规则使用的就是0号之后的规则,则可以不用再另外创建新的代理上网规则
sysopt connection permit-ipsec //同步ipsec连接
exit
某公司设备配置如下:
第一阶段:添加对端设备
第一阶段:配置高级选项
第二阶段:配置入站策略
第二阶段:配置出站策略
配置安全选项
要注意的一点:CISCO配置access-list的网段必须和某公司入站配置的网段一致,否会导致第二阶段无法建立连接。有多个网段则添加多条access-list,或使用object组 例如:access-list 110 extended permit ip object-group AllNetworks object HZ_Remot
| 
发表于 2015-10-7 22:59
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
