实验环境如下图所示:IP地址可以自己规划,ISP运营商模拟外部internet。下面直接进行配置的操作过程。

wKioL1WguvqQ7UevAAGu8Y87APE400.jpg

首先配置各个接口上规划好的IP地址(过程略),ISP运营商只需要配置两个IP地址就行。R2除了配IP地址以外还需要配置一条默认路由,下一跳地址指向出口网关,如下所示。

wKiom1WguSbA8bRXAAIl-9Q3osU671.jpg

同样R3上面除了配IP地址以外,也需要配置一条默认路由,下一跳地址也是指向出口网关,如下所示。

wKioL1WguvqBkxi0AAIDJoIYgn4515.jpg

然后是ASA1防火墙的IP配置,如下所示,并指定两条路由条目,一个是指向网关的默认路由,一条是指向内部局域网的静态路由。

wKiom1WguSeAjUObAAIATJ4rr2g314.jpg

ASA2防火墙的IP地址如下所示,也需要指定两条路由条目,此时可以进行一下环境测试,ping ×××对等体的IP地址。

wKiom1WguSeBDDbiAAJWfNeBs0o552.jpg

下面可以使用VPCS配置两台PC机的IP地址,IP配置如下所示,当然是不能通信的(还没做×××通道)。

wKioL1WguvvQ-gY2AAKLmrlOOAg581.jpg

下面才是今天的重头戏IPSec ×××ASA防火墙的IKE功能默认是关闭的,所以需要手动开启一下。

然后在ASA1上面配置安全策略(和路由器的配置过程是一样的)。然后配置预共享密钥(和路由器的区别在于不需要指定加密或者明文)。接下来定义数据加密方式,传输集。

定义感兴趣流量,然后配置静态crypto map映射,应用传输集和感兴趣流量,并指定对等体IP地址,最后是应用到区域(路由器是应用在了接口)。

wKiom1WguSehsSDiAAOteEAGCqM013.jpg

下面是ASA2的配置,原理和过程和ASA1都是一样的,只是需要注意IP地址的配置。

wKioL1WguvuQY6XNAAM56oXd0Bc647.jpg

以上配置完成再次打开VPCS测试连通性,使用C1测试ping对端局域网C2,表示已经能够正常通信。

wKiom1WguSehVv6RAAJeiaWyZmY952.jpg

实验总结:做到这里已经完成了,如果需要再次查看详细的配置信息,可使用show running-config或者show run crypto

以上比较容易出错的地方①对等体的IP地址。②加密算法不匹配,策略不被接受。③预共享密钥KEY不同。④ASAIKE没有开启。⑤NAT控制开启,但是没有进行NAT豁免。

debug crypto isakmp”命令,用于诊断和排查管理连接出现问题的。