基于ASA防火墙作IPSec ***加密隧道

实验环境以下图所示：IP地址能够本身规划，ISP运营商模拟外部internet。下面直接进行配置的操做过程。

首先配置各个接口上规划好的IP地址（过程略），ISP运营商只须要配置两个IP地址就行。R2除了配IP地址之外还须要配置一条默认路由，下一跳地址指向出口网关，以下所示。

一样R3上面除了配IP地址之外，也须要配置一条默认路由，下一跳地址也是指向出口网关，以下所示。

而后是ASA1防火墙的IP配置，以下所示，并指定两条路由条目，一个是指向网关的默认路由，一条是指向内部局域网的静态路由。

ASA2防火墙的IP地址以下所示，也须要指定两条路由条目，此时能够进行一下环境测试，ping ×××对等体的IP地址。

下面可使用VPCS配置两台PC机的IP地址，IP配置以下所示，固然是不能通讯的（还没作×××通道）。

下面才是今天的重头戏IPSec ×××，ASA防火墙的IKE功能默认是关闭的，因此须要手动开启一下。

而后在ASA1上面配置安全策略（和路由器的配置过程是同样的）。而后配置预共享密钥（和路由器的区别在于不须要指定加密或者明文）。接下来定义数据加密方式，传输集。

定义感兴趣流量，而后配置静态crypto map映射，应用传输集和感兴趣流量，并指定对等体IP地址，最后是应用到区域（路由器是应用在了接口）。

下面是ASA2的配置，原理和过程和ASA1都是同样的，只是须要注意IP地址的配置。

以上配置完成再次打开VPCS测试连通性，使用C1测试ping对端局域网C2，表示已经可以正常通讯。

实验总结：作到这里已经完成了，若是须要再次查看详细的配置信息，可以使用show running-config或者show run crypto。

以上比较容易出错的地方①对等体的IP地址。②加密算法不匹配，策略不被接受。③预共享密钥KEY不一样。④ASA的IKE没有开启。⑤NAT控制开启，可是没有进行NAT豁免。

“debug crypto isakmp”命令，用于诊断和排查管理链接出现问题的。