ASA配置
定义一阶段:
crypto ikev1 policy 10
encryption 3des
hash sha
group 2
authentication pre-share
115.238.84.129
定义peer参数,以及pre-share-key
tunnel-group 202.100.1.1 type ipsec-l2l //对端公网ip
tunnel-group 202.100.1.1 ipsec-attributes //对端公网ip
ikev1 pre-share-key *****
tunnel-group隧道组也称为连接配置文件,定义了L2L或者remote access隧道,使用这个连接配置文件来映射IPSec对等体的属性
L2L的IPSec隧道,应该使用对端PEER的IP地址作为隧道组的名称(Main Mode),否则会使用(Aggressive Mode)
定义二阶段封装&加密&完整性校验算法参数
crypto ipsec transform-set ikev1 TS esp-3des esp-sha-hmac
定义感兴趣流
access-list VPN extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 //ASA都是打正掩码
定义crypto map 并在接口调用
crypto map CMAP 10 match address VPN // map调用
crypto map CMAP 10 set transform-set TS
crypto map CMAP 10 set peer 202.100.1.1
crypto map CMAP interface outside //接口调用
crypto ikev1 enable outside //启用ISAKMP,默认ASA不启用ISAKMP,意味着不监听UDP500
默认ikev1全局接口关闭,需要指定接口打开