CISCO ASA5520 IPSEC ××× 配置详解

ASA5520配置步骤：

ASA-×××(config)# interface gigabitEthernet 0/2

ASA-×××(config-if)# nameif ipsecout

ASA-×××(config-if)# security-level 0

ASA-×××(config-if)#ip address 10.0.0.1 255.0.0.0

ASA-×××(config-if)# no shutdown

//配置外网接口的别名、安全级别及ip地址并启用

ASA-×××(config)# interface gigabitEthernet 0/3

ASA-×××(config-if)# nameif ipsecin

ASA-×××(config-if)# security-level 100

ASA-×××(config-if)#ip address 192.168.0.1 255.255.255.0

ASA-×××(config-if)# no shutdown

//配置内网接口的别名、安全级别及ip地址并启用

ASA-×××(config)# access-list ipsec_icmp extended permit icmp any any

ASA-×××(config)# access-group ipsec_icmp in interface ipsecout

ASA-×××(config)# access-group ipsec_icmp in interface ipsecin

//创建访问列表，定义允许的数据流并应用到接口上

ASA-×××(config)# route ipsecout 0.0.0.0 0.0.0.0 10.0.0.1

//设置默认静态路由

IPSec的实现主要由两个阶段来完成：
--第一阶段，双方协商安全连接，建立一个已通过身份鉴别和安全保护的通道。
--第二阶段，安全协议用于保护数据的和信息的交换。

IPSec有两个安全协议：AH和ESP
AH主要用来对数据进行完整性校验和身份认证，ESP则提供机密性，数据完整性等安全服务。
无论是AH还是ESP都有涉及到了加密算法和验证算法，它们都由SA指定。

而它们的密钥有很多，这样就需要密钥管理机制ISAMKP （Internet密钥交换协议）

第一阶段：

ASA-×××(config)# crypto isakmp policy 10 

//启用并创建一个ISAKMP策略，并指定其优先级
ASA-×××(config-isakmp-policy)# encryption 3des

//指定对称加密算法，有3des、des、aes等

ASA-×××(config-isakmp-policy)# hash md5

//指定信息摘要算法，校验算法有sha、md5等

ASA-×××(config-isakmp-policy)# authentication pre-share

//pre-share为预共享密钥， 一般指定这个，当然还有rsa-sig、pre-share

ASA-×××(config-isakmp-policy)# group 2

//指定DH分组编号，1为768位，2为1024位

ASA-×××(config-isakmp-policy)# lifetime 86400

//指定SA生存期

ASA-×××(config-isakmp-policy)# exit

ASA-×××(config)#crypto isakmp key 123456 address 1 0.0.0.1

//ISAKMP中标识对方的ip,并指定123456为密码

第二阶段：

ASA-×××(config)# crypto ipsec transform-set mytrans01 esp-3des esp-md5-hmac

//创建变换集mystrans01，可以多个。esp-3des为对称加密算法，esp-sha-hmac为ipsec体系中esp协议的sha校验，esp-des为对称加密算法，esp-md5-hmac为ipsec体系中esp协议的md5校验。交换集主要是是用来定义数据加密和完整性校验用的算法

ASA-×××(config)# access-list ipsec-data permit ip 192.168.0.0 255.255.255.0 172.16.0.0 255.255.255.0

//定义感兴趣的数据流

ASA-×××(config)# crypto map ipsec_map 10 match address ipsec-data

//创建加密图，名称为ipsec_map，序列号为10 ，10和上面的policy 10没联系。匹配感兴趣的数据流，也是前面定义的ipsec-data
ASA-×××(config)# crypto map ipsec_map 10 set peer 10.0.0.1

//指定对方的ip

ASA-×××(config)# crypto map ipsec_map 10 set transform-set mytrans01

//指定的交换集为前面创建的mytrans01

ASA-×××(config)# crypto map ipsec_map 10 set pfs group2

//向前密钥保护功能（可以不指定）

ASA-×××(config)# crypto map isakmp interfaceipsecout

//加密图应用到接口ipsecout上

ASA-×××(config)# crypto isakmp enable ipsecout

//在ipsecout上启用ISAKMP

 

转载于:https://blog.51cto.com/766394470/1203417