在asa是实现IPsec
要求:
- pc1通过v*n访问pc3
- pc1可以访问pc2
一、基本配置
1、ASA的配置
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 100.1.1.1 255.255.255.252
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route outside 0 0 100.1.1.2
ciscoasa(config)# nat-control
ciscoasa(config)# nat (inside) 1 0 0
ciscoasa(config)# global (outside) 1 interface
ciscoasa(config)# access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ciscoasa(config)# nat (inside) 0 access-list 100
2.ISP的配置
ISP(config)#int f0/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.252
ISP(config-if)#no sh
ISP(config-if)#int f1/0
ISP(config-if)#ip add 200.1.1.1 255.255.255.252
ISP(config-if)#no sh
ISP(config-if)#int f2/0
ISP(config-if)#ip add 11.1.1.1 255.255.255.0
ISP(config-if)#no sh
3.上海的配置
SHANGHAI(config)#int f1/0
SHANGHAI(config-if)#ip add 200.1.1.2 255.255.255.252
SHANGHAI(config-if)#no sh
SHANGHAI(config-if)#int f0/0
SHANGHAI(config-if)#ip add 192.168.2.1 255.255.255.0
SHANGHAI(config-if)#no sh
SHANGHAI(config-if)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
4.pc1的配置
PC1(config)#int f0/0
PC1(config-if)#ip add 192.168.1.2 255.255.255.0
PC1(config-if)#no sh
PC1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
5.pc2的配置
PC2(config)#int f0/0
PC2(config-if)#ip add 11.1.1.2 255.255.255.0
PC2(config-if)#no sh
PC2(config-if)#ip route 0.0.0.0 0.0.0.0 11.1.1.1
启用telnet服务,用于测试
PC2(config)#line vty 0 4
PC2(config-line)#pass cisco
PC2(config-line)#login
6.pc3的配置
PC3(config)#int f0/0
PC3(config-if)#ip add 192.168.2.2 255.255.255.0
PC3(config-if)#no sh
PC3(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
二、v*n的配置
1.ASA(北京)的配置
1)阶段一的配置
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 1
ciscoasa(config-isakmp-policy)# encry aes
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authen pre-share
ciscoasa(config-isakmp-policy)# group 1
ciscoasa(config-isakmp-policy)# exit
ciscoasa(config)# crypto isakmp key 123456 address 200.1.1.2
2)阶段二的配置
配置感兴趣的数据流(需要通过v*n传输的流量)
access-list v*n permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
定义传输集,用以定义保护数据的安全协议
ciscoasa(config)# crypto ipsec transform-set beijing esp-aes esp-sha-hmac
3)创建map,将第一阶段和第二阶段的配置结合起来。并将其应用在接口上
ciscoasa(config)# crypto map beijing 1 match address v*n
ciscoasa(config)# crypto map beijing 1 set peer 200.1.1.2
ciscoasa(config)# crypto map beijing 1 set transform-set Beijing
ciscoasa(config)# crypto map beijing interface outside
2.上海端的配置
1)阶段一的配置
SHANGHAI(config)#crypto isakmp policy 1
SHANGHAI(config-isakmp)#encryption aes
SHANGHAI(config-isakmp)#hash sha
SHANGHAI(config-isakmp)#authentication pre-share
SHANGHAI(config-isakmp)#group 1
SHANGHAI(config-isakmp)#exit
SHANGHAI(config)#crypto isakmp key 123456 address 100.1.1.1
SHANGHAI(config)#
2)阶段二的配置
配置感兴趣的数据流(需要通过v*n传输的流量)
SHANGHAI(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
定义传输集,用以定义保护数据的安全协议
SHANGHAI(config)#crypto ipsec transform-set shanghai esp-aes esp-sha-hmac
3)创建map,将第一阶段和第二阶段的配置结合起来。并将其应用在接口上
SHANGHAI(config)#crypto map shanghai 1 ipsec-isakmp
SHANGHAI(config-crypto-map)#match address 100
SHANGHAI(config-crypto-map)#set peer 100.1.1.1
SHANGHAI(config-crypto-map)#set transform-set shanghai
SHANGHAI(config-crypto-map)#exit
SHANGHAI(config)#int f1/0
SHANGHAI(config-if)#crypto map shanghai
SHANGHAI(config-if)#
测试:
1.在pc1上ping pc3
2.在pc1 上telnet pc2