實驗環境如下圖所示:ip位址可以自己規劃,isp營運商模拟外部internet。下面直接進行配置的操作過程。
首先配置各個接口上規劃好的ip位址(過程略),isp營運商隻需要配置兩個ip位址就行。r2除了配ip位址以外還需要配置一條預設路由,下一跳位址指向出口網關,如下所示。
同樣r3上面除了配ip位址以外,也需要配置一條預設路由,下一跳位址也是指向出口網關,如下所示。
然後是asa1防火牆的ip配置,如下所示,并指定兩條路由條目,一個是指向網關的預設路由,一條是指向内部區域網路的靜态路由。
asa2防火牆的ip位址如下所示,也需要指定兩條路由條目,此時可以進行一下環境測試,ping ×××對等體的ip位址。
下面可以使用vpcs配置兩台pc機的ip位址,ip配置如下所示,當然是不能通信的(還沒做×××通道)。
下面才是今天的重頭戲ipsec ×××,asa防火牆的ike功能預設是關閉的,是以需要手動開啟一下。
然後在asa1上面配置安全政策(和路由器的配置過程是一樣的)。然後配置預共享密鑰(和路由器的差別在于不需要指定加密或者明文)。接下來定義資料加密方式,傳輸集。
定義感興趣流量,然後配置靜态crypto map映射,應用傳輸集和感興趣流量,并指定對等體ip位址,最後是應用到區域(路由器是應用在了接口)。
下面是asa2的配置,原理和過程和asa1都是一樣的,隻是需要注意ip位址的配置。
以上配置完成再次打開vpcs測試連通性,使用c1測試ping對端區域網路c2,表示已經能夠正常通信。
實驗總結:做到這裡已經完成了,如果需要再次檢視詳細的配置資訊,可使用show running-config或者show run crypto。
以上比較容易出錯的地方①對等體的ip位址。②加密算法不比對,政策不被接受。③預共享密鑰key不同。④asa的ike沒有開啟。⑤nat控制開啟,但是沒有進行nat豁免。
“debug crypto isakmp”指令,用于診斷和排查管理連接配接出現問題的。