基于ASA防火墙做IPSec ***加密隧道

实验环境如下图所示：IP地址可以自己规划，ISP运营商模拟外部internet。下面直接进行配置的操作过程。

首先配置各个接口上规划好的IP地址（过程略），ISP运营商只需要配置两个IP地址就行。R2除了配IP地址以外还需要配置一条默认路由，下一跳地址指向出口网关，如下所示。

同样R3上面除了配IP地址以外，也需要配置一条默认路由，下一跳地址也是指向出口网关，如下所示。

然后是ASA1防火墙的IP配置，如下所示，并指定两条路由条目，一个是指向网关的默认路由，一条是指向内部局域网的静态路由。

ASA2防火墙的IP地址如下所示，也需要指定两条路由条目，此时可以进行一下环境测试，ping ×××对等体的IP地址。

下面可以使用VPCS配置两台PC机的IP地址，IP配置如下所示，当然是不能通信的（还没做×××通道）。

下面才是今天的重头戏IPSec ×××，ASA防火墙的IKE功能默认是关闭的，所以需要手动开启一下。

然后在ASA1上面配置安全策略（和路由器的配置过程是一样的）。然后配置预共享密钥（和路由器的区别在于不需要指定加密或者明文）。接下来定义数据加密方式，传输集。

定义感兴趣流量，然后配置静态crypto map映射，应用传输集和感兴趣流量，并指定对等体IP地址，最后是应用到区域（路由器是应用在了接口）。

下面是ASA2的配置，原理和过程和ASA1都是一样的，只是需要注意IP地址的配置。

以上配置完成再次打开VPCS测试连通性，使用C1测试ping对端局域网C2，表示已经能够正常通信。

实验总结：做到这里已经完成了，如果需要再次查看详细的配置信息，可使用show running-config或者show run crypto。

以上比较容易出错的地方①对等体的IP地址。②加密算法不匹配，策略不被接受。③预共享密钥KEY不同。④ASA的IKE没有开启。⑤NAT控制开启，但是没有进行NAT豁免。

“debug crypto isakmp”命令，用于诊断和排查管理连接出现问题的。