实验环境如下图所示:ip地址可以自己规划,isp运营商模拟外部internet。下面直接进行配置的操作过程。
首先配置各个接口上规划好的ip地址(过程略),isp运营商只需要配置两个ip地址就行。r2除了配ip地址以外还需要配置一条默认路由,下一跳地址指向出口网关,如下所示。
同样r3上面除了配ip地址以外,也需要配置一条默认路由,下一跳地址也是指向出口网关,如下所示。
然后是asa1防火墙的ip配置,如下所示,并指定两条路由条目,一个是指向网关的默认路由,一条是指向内部局域网的静态路由。
asa2防火墙的ip地址如下所示,也需要指定两条路由条目,此时可以进行一下环境测试,ping ×××对等体的ip地址。
下面可以使用vpcs配置两台pc机的ip地址,ip配置如下所示,当然是不能通信的(还没做×××通道)。
下面才是今天的重头戏ipsec ×××,asa防火墙的ike功能默认是关闭的,所以需要手动开启一下。
然后在asa1上面配置安全策略(和路由器的配置过程是一样的)。然后配置预共享密钥(和路由器的区别在于不需要指定加密或者明文)。接下来定义数据加密方式,传输集。
定义感兴趣流量,然后配置静态crypto map映射,应用传输集和感兴趣流量,并指定对等体ip地址,最后是应用到区域(路由器是应用在了接口)。
下面是asa2的配置,原理和过程和asa1都是一样的,只是需要注意ip地址的配置。
以上配置完成再次打开vpcs测试连通性,使用c1测试ping对端局域网c2,表示已经能够正常通信。
实验总结:做到这里已经完成了,如果需要再次查看详细的配置信息,可使用show running-config或者show run crypto。
以上比较容易出错的地方①对等体的ip地址。②加密算法不匹配,策略不被接受。③预共享密钥key不同。④asa的ike没有开启。⑤nat控制开启,但是没有进行nat豁免。
“debug crypto isakmp”命令,用于诊断和排查管理连接出现问题的。