ASA的Easy ***配置步骤_第1张图片

Easy ×××路由器上配置

R1(config)#aaa new-model 定义AAA

R1(config)#aaa authentication login ***_authen local
R1(config)#aaa authorization network ***_author local
R1(config)#username cisco password cisco
R1(config)#crypto isakmp policy 10 定义一阶段策略的SA参数

R1(config-isakmp)#encryption aes 128
R1(config-isakmp)#hash sha
R1(config-isakmp)#authentication per-share
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#ip local pool ***_pool 192.168.1.1 192.168.1.200 创建IP地址池
R1(config)#access-list 101 permit ip 10.10.1.0 0.0.0.255 any 定义ACL用于分离隧道
R1(config)#crypto isakmp cluent configuration group ***_group 定义Easy ×××组及参数R1(config-isakmp-group)#key groupky
R1(config-isakmp-group)#pool ***_pool
R1(config-isakmp-group)#acl 101
R1(config-isakmp-group)#exit
R1(config)#crypto ipsec teansform-set ***_transform esp-aes esp-sha-hmac 定义传输集R1(config-crypto-trans)#exit
R1(config)#crypto dynamic-map cpn_dymap 10 定义动态的Crypto Map条目

R1(config-isakmp-group)#set transform-set ***_transform
R1(config-isakmp-group)#exit

定义静态的crypto map条目和xauth
R1(config)#crypto map mymap client authentication list ***_authen
R1(config)#crypto map mymap isakmp authorization list ***_author
R1(config)#crypto map mymap client configuration address respond
R1(config)#crypto map mymap 1000 ipsec-isakmp dynameic ***_dymap
R1(config)#int S1/0
R1(config-if)#crypto map mymap 将Crypto Map 应用到接口
定义Easy ×××组硬件配置
R1(config)#crypto isakmp cluent configuration group ***_group
R1(config-isakmp-group)#key groupky
R1(config-isakmp-group)#pool ***_pool
R1(config-isakmp-group)#acl 101
R1(config-isakmp-group)#save-password
R1(config-isakmp-group)#exit

配置R3easy***硬件客户端

1建立连接配置文件
crypto ipsec client ez*** myeasy***
2自动发起连接
connect auto
3指定客户端属于服务器的哪个组和这个组的与共享秘钥
group ***-group key groupkey
4客户端的连接模式
mode network-extension
5其他配置
peer 200.1.1.1


Easy ×××基于ASA的配置
定义XAUTH(用户)验证
ASA(config)#username cisco password cisco

定义阶段1的SA参数
ASA(config)#crypto isakmp enable outside
ASA(config)#crypto isakmp policy 10
ASA(config-isakmp-policy)#encryption aes
ASA(config-isakmp-policy)#authentication pre-share
ASA(config-isakmp-policy)#group2
ASA(config-isakmp-policy)#exit
ASA(config)#ip local ***-pool 192.168.1.1-192.168.1.200 定义IP地址池

ASA(config)#access-list split-tunnel permit ip 10.10.1.0 255.255.255.0 any 定义ACL用于分离隧道
ASA(config)#group-policy ***-group-policy internal 定义组策略

ASA(config)#group-policy ***-group-policy attribute
ASA(config-group-poicy)#split-tunnel-policy tunnelspecified
ASA(config-group-poicy)#split-tunnel-natwork-list value split-tunnel
ASA(config-group-poicy)#exit
ASA(config)#tunnel-group ***-group type ipsec-ra 建立隧道组

ASA(config)#tunnel-group ***-group general-attributes
ASA(config-tunnel-general)#address-pool ***-pool
ASA(config-tunnel-general)#default-group-policy
ASA(config-tunnel-general)#exit
ASA(config)#tunnel-group ***-group ipsec-attributes
ASA(config-tunnel-general)#pre-shared-key groupkry
ASA(config-tunnel-general)#exit
ASA(config)#crypto ipsec transform-set ***-transfprm esp-aes esp-sha-hmac 定义传输集

ASA(config)#crypto dynamic-map ***-dymap 10 set transform-set ***-transform 定义动态的crypto map 条目
ASA(config)#crypyo map mymap 1000 ipsec-isakmp dynamic ***-dymap 定义静态的crypto map 条目
ASA(config)#crypto map maymap interface ouside将crypto map 应用到接口