ASA5520配置步骤:
ASA-×××(config)# interface gigabitEthernet 0/2
ASA-×××(config-if)# nameif ipsecout
ASA-×××(config-if)# security-level 0
ASA-×××(config-if)#ip address 10.0.0.1 255.0.0.0
ASA-×××(config-if)# no shutdown
//配置外网接口的别名、安全级别及ip地址并启用
ASA-×××(config)# interface gigabitEthernet 0/3
ASA-×××(config-if)# nameif ipsecin
ASA-×××(config-if)# security-level 100
ASA-×××(config-if)#ip address 192.168.0.1 255.255.255.0
ASA-×××(config-if)# no shutdown
//配置内网接口的别名、安全级别及ip地址并启用
ASA-×××(config)# access-list ipsec_icmp extended permit icmp any any
ASA-×××(config)# access-group ipsec_icmp in interface ipsecout
ASA-×××(config)# access-group ipsec_icmp in interface ipsecin
//创建访问列表,定义允许的数据流并应用到接口上
ASA-×××(config)# route ipsecout 0.0.0.0 0.0.0.0 10.0.0.1
//设置默认静态路由
IPSec的实现主要由两个阶段来完成:
--第一阶段,双方协商安全连接,建立一个已通过身份鉴别和安全保护的通道。
--第二阶段,安全协议用于保护数据的和信息的交换。
IPSec有两个安全协议:AH和ESP
AH主要用来对数据进行完整性校验和身份认证,ESP则提供机密性,数据完整性等安全服务。
无论是AH还是ESP都有涉及到了加密算法和验证算法,它们都由SA指定。
而它们的密钥有很多,这样就需要密钥管理机制ISAMKP (Internet密钥交换协议)
第一阶段:
ASA-×××(config)# crypto isakmp policy 10
//启用并创建一个ISAKMP策略,并指定其优先级
ASA-×××(config-isakmp-policy)# encryption 3des
//指定对称加密算法,有3des、des、aes等
ASA-×××(config-isakmp-policy)# hash md5
//指定信息摘要算法,校验算法有sha、md5等
ASA-×××(config-isakmp-policy)# authentication pre-share
//pre-share为预共享密钥, 一般指定这个,当然还有rsa-sig、pre-share
ASA-×××(config-isakmp-policy)# group 2
//指定DH分组编号,1为768位,2为1024位
ASA-×××(config-isakmp-policy)# lifetime 86400
//指定SA生存期
ASA-×××(config-isakmp-policy)# exit
ASA-×××(config)#crypto isakmp key 123456 address 1 0.0.0.1
//ISAKMP中标识对方的ip,并指定123456为密码
第二阶段:
ASA-×××(config)# crypto ipsec transform-set mytrans01 esp-3des esp-md5-hmac
//创建变换集mystrans01,可以多个。esp-3des为对称加密算法,esp-sha-hmac为ipsec体系中esp协议的sha校验,esp-des为对称加密算法,esp-md5-hmac为ipsec体系中esp协议的md5校验。交换集主要是是用来定义数据加密和完整性校验用的算法
ASA-×××(config)# access-list ipsec-data permit ip 192.168.0.0 255.255.255.0 172.16.0.0 255.255.255.0
//定义感兴趣的数据流
ASA-×××(config)# crypto map ipsec_map 10 match address ipsec-data
//创建加密图,名称为ipsec_map,序列号为10 ,10和上面的policy 10没联系。匹配感兴趣的数据流,也是前面定义的ipsec-data
ASA-×××(config)# crypto map ipsec_map 10 set peer 10.0.0.1
//指定对方的ip
ASA-×××(config)# crypto map ipsec_map 10 set transform-set mytrans01
//指定的交换集为前面创建的mytrans01
ASA-×××(config)# crypto map ipsec_map 10 set pfs group2
//向前密钥保护功能(可以不指定)
ASA-×××(config)# crypto map isakmp interfaceipsecout
//加密图应用到接口ipsecout上
ASA-×××(config)# crypto isakmp enable ipsecout
//在ipsecout上启用ISAKMP