基於ASA防火牆作IPSec ***加密隧道

實驗環境以下圖所示：IP地址能夠本身規劃，ISP運營商模擬外部internet。下面直接進行配置的操做過程。

首先配置各個接口上規劃好的IP地址（過程略），ISP運營商只須要配置兩個IP地址就行。R2除了配IP地址之外還須要配置一條默認路由，下一跳地址指向出口網關，以下所示。

一樣R3上面除了配IP地址之外，也須要配置一條默認路由，下一跳地址也是指向出口網關，以下所示。

而後是ASA1防火牆的IP配置，以下所示，並指定兩條路由條目，一個是指向網關的默認路由，一條是指向內部局域網的靜態路由。

ASA2防火牆的IP地址以下所示，也須要指定兩條路由條目，此時能夠進行一下環境測試，ping ×××對等體的IP地址。

下面可使用VPCS配置兩臺PC機的IP地址，IP配置以下所示，固然是不能通訊的（還沒作×××通道）。

下面纔是今天的重頭戲IPSec ×××，ASA防火牆的IKE功能默認是關閉的，因此須要手動開啓一下。

而後在ASA1上面配置安全策略（和路由器的配置過程是同樣的）。而後配置預共享密鑰（和路由器的區別在於不須要指定加密或者明文）。接下來定義數據加密方式，傳輸集。

定義感興趣流量，而後配置靜態crypto map映射，應用傳輸集和感興趣流量，並指定對等體IP地址，最後是應用到區域（路由器是應用在了接口）。

下面是ASA2的配置，原理和過程和ASA1都是同樣的，只是須要注意IP地址的配置。

以上配置完成再次打開VPCS測試連通性，使用C1測試ping對端局域網C2，表示已經可以正常通訊。

實驗總結：作到這裏已經完成了，若是須要再次查看詳細的配置信息，可以使用show running-config或者show run crypto。

以上比較容易出錯的地方①對等體的IP地址。②加密算法不匹配，策略不被接受。③預共享密鑰KEY不一樣。④ASA的IKE沒有開啓。⑤NAT控制開啓，可是沒有進行NAT豁免。

「debug crypto isakmp」命令，用於診斷和排查管理鏈接出現問題的。