实验环境如下图所示:IP地址可以自己规划,ISP运营商模拟外部internet。下面直接进行配置的操作过程。首先配置各个接口上规划好的IP地址(过程略),ISP运营商只需要配置两个IP地址就行。R2除
.
实验环境如下图所示:IP地址可以自己规划,ISP运营商模拟外部internet。下面直接进行配置的操作过程。
首先配置各个接口上规划好的IP地址(过程略),ISP运营商只需要配置两个IP地址就行。R2除了配IP地址以外还需要配置一条默认路由,下一跳地址指向出口网关,如下所示。
同样R3上面除了配IP地址以外,也需要配置一条默认路由,下一跳地址也是指向出口网关,如下所示。
然后是ASA1防火墙的IP配置,如下所示,并指定两条路由条目,一个是指向网关的默认路由,一条是指向内部局域网的静态路由。
ASA2防火墙的IP地址如下所示,也需要指定两条路由条目,此时可以进行一下环境测试,ping ×××对等体的IP地址。
下面可以使用VPCS配置两台PC机的IP地址,IP配置如下所示,当然是不能通信的(还没做×××通道)。
下面才是今天的重头戏IPSec ×××,ASA防火墙的IKE功能默认是关闭的,所以需要手动开启一下。
然后在ASA1上面配置安全策略(和路由器的配置过程是一样的)。然后配置预共享密钥(和路由器的区别在于不需要指定加密或者明文)。接下来定义数据加密方式,传输集。
定义感兴趣流量,然后配置静态crypto map映射,应用传输集和感兴趣流量,并指定对等体IP地址,最后是应用到区域(路由器是应用在了接口)。
下面是ASA2的配置,原理和过程和ASA1都是一样的,只是需要注意IP地址的配置。
以上配置完成再次打开VPCS测试连通性,使用C1测试ping对端局域网C2,表示已经能够正常通信。
实验总结:做到这里已经完成了,如果需要再次查看详细的配置信息,可使用show running-config或者show run crypto。
以上比较容易出错的地方①对等体的IP地址。②加密算法不匹配,策略不被接受。③预共享密钥KEY不同。④ASA的IKE没有开启。⑤NAT控制开启,但是没有进行NAT豁免。
“debug crypto isakmp”命令,用于诊断和排查管理连接出现问题的。
.
