在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲：

• 一、网络环境需求
• 二、配置前准备
• 三、配置虚拟专用网
• 四、总结

---

前言：

之前写过一篇博文：Cisco路由器之IPSec 虚拟专用网，那是在公司网关使用的是Cisco路由器的情况下，来搭建虚拟专用网的，那么公司网关若是Cisco的ASA防火墙呢？就让这篇博文来带你配置一下。

关于其中的知识点及相关概念，都在文章开头的那篇博文链接中介绍的差不多了，在防火墙和路由器上实现虚拟专用网，原理差不多，所以这里就不啰嗦了，直接上配置。

网络环境如下：

一、网络环境需求

1、需要在总公司和各个分公司的网关ASA上建立IPSec虚拟专用网，实现总公司和分公司的某个网段（一般是只有某个部门有互通的必要性）互通。
2、两个分公司之间也需要配置虚拟专用网实现互通，并且是通过总公司的网关ASA的outside区域的E0/1实现互通的（当然，也可以绕过总公司的ASA防火墙，根据实际需求来定即可）。
3、不但总公司与分公司之间需要有虚拟专用网，而且不要影响公司内部主机访问Internet（通过端口PAT来实现，配置完成后，Telnet登录R2路由器进行验证）。
4、公司内部使用路由器来代替PC机进行测试，Internet的R2路由器除了配置IP地址外，不可配置任何路由条目。

二、配置前准备

（若直接在生产环境配置，并且配置了基本接口IP、路由等。则可以忽略配置前准备）

1、我这里使用的是GNS3模拟器，自行搭建网络拓扑图，使用防火墙时，需要将接口类型改一下，如下（GNS3默认不带防火墙，需要自行载入，若需要帮助，可以私信我）：

2、自行配置接口IP地址以及路由条目，范例如下：

扫描二维码关注公众号，回复： 7048233 查看本文章

'路由器配置接口IP及路由条目（R2除外，都需要配置默认路由，相当于它的网关）'
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#in f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
'防火墙ASA配置接口IP及路由条目：'
ciscoasa> en
Password:      #默认没有密码，直接回车即可
ciscoasa# conf t
ciscoasa(config)# in e0/0
ciscoasa(config-if)# nameif inside     #需要先定义区域
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# in e0/1
ciscoasa(config-if)# nameif ouside
INFO: Security level for "ouside" set to 0 by default.
ciscoasa(config-if)# ip add 201.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route ouside 0 0 201.0.0.2     #配置默认路由，下一跳指向互联网的R2路由器。

三、配置虚拟专用网

配置完接口IP及路由信息，即可跟着配置下面的虚拟专用网。

1、配置总公司与分公司1之间的虚拟专用网：

（1）总公司的ASA-1配置如下：

ASA-1(config)# crypto isakmp enable outside    #启用ISAKMP/IKE
#'以下是配置ISAKMP策略（也就是管理连接的配置）'
ASA-1(config)# crypto isakmp policy 1   #策略序列号为“1”，范围是1~10000，数值越小，优先级越高
ASA-1(config-isakmp-policy)# authentication pre-share  #声明设备认证方式为“预先共享密钥”
ASA-1(config-isakmp-policy)# encryption aes   #配置加密算法  
ASA-1(config-isakmp-policy)# hash md5    #hash命令指定验证过程中采用的散列算法
ASA-1(config-isakmp-policy)# group 2   #采用DH算法的强度为group2
ASA-1(config-isakmp-policy)# lifetime 10000   #可选，管理连接生存周期，默认为86400s（24小时）
ASA-1(config-isakmp-policy)# crypto isakmp key 2019.com address 202.0.0.1        #配置“预先共享密钥”
ASA-1(config)# access-list lan1_lan2 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0    #定义虚拟专用网保护的流量   
ASA-1(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac #数据连接协商参数，“test-set”是自定义的名称
ASA-1(config)# crypto map test-map 1 match address lan1_lan2   #匹配的ACL
ASA-1(config)# crypto map test-map 1 set peer 202.0.0.1    #虚拟专用网对端地址
ASA-1(config)# crypto map test-map 1 set transform-set test-set    #将数据连接关联刚才创建的传输集
ASA-1(config)# crypto map test-map interface outside   #将crypto map 应用到outside接口上。

（2）分公司1的ASA-2配置如下：

ASA-2(config)# crypto isakmp enable outside
ASA-2(config)# crypto isakmp policy 1
ASA-2(config-isakmp-policy)# authentication pre-share
ASA-2(config-isakmp-policy)# encryption aes
ASA-2(config-isakmp-policy)# hash md5
ASA-2(config-isakmp-policy)# group 2
ASA-2(config-isakmp-policy)# lifetime 10000
ASA-2(config-isakmp-policy)# crypto isakmp key 2019.com address 201.0.0.1
ASA-2(config)# acce
ASA-2(config)# access-li
ASA-2(config)# access-list lan2_lan1 permit ip 192.168.2.0 255.255.255.0 192.1$
ASA-2(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-2(config)# crypto map test-map 1 match address lan2_lan1
ASA-2(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-2(config)# crypto map test-map 1 set transform-set test-set
ASA-2(config)# crypto map test-map interface outside

至此，总公司和分公司1的虚拟专用网就建立完成了，可以使用R3和R1进行ping测试，虚拟专用网建立连接需要时间，在路由及接口IP配置无误的情况下，ping个两三次才可ping通，如果ping了三五次都没ping通，多半是凉了，自行排错吧，通过show run命令查看哪里配置错了吧！

2、配置总公司与分公司3之间的虚拟专用网：

（1）总公司的ASA-1配置如下（关于管理连接的配置可以和总公司到分公司1的配置共用，可以说只要配置涉及了ACL及IP地址的命令改动下再配置一下就可以了）：

ASA-1(config)# crypto isakmp key 2020.com address 203.0.0.1
ASA-1(config)# access-list lan1_lan3 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
ASA-1(config)# crypto map test-map 2 match address lan1_lan3
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set peer 203.0.0.1
WARNING: The crypto map entry is incomplete!
ASA-1(config)# crypto map test-map 2 set transform-set test-set

（2）分公司2的ASA-3配置如下：

ASA-3(config)# crypto isakmp enable outside
ASA-3(config)# crypto isakmp policy 1
ASA-3(config-isakmp-policy)# authentication pre-share
ASA-3(config-isakmp-policy)# encryption aes
ASA-3(config-isakmp-policy)# hash md5
ASA-3(config-isakmp-policy)# group 2
ASA-3(config-isakmp-policy)# lifetime 10000
ASA-3(config-isakmp-policy)# crypto isakmp key 2020.com address 201.0.0.1
ASA-3(config)# access-list lan3_lan1 permit ip 192.168.3.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-3(config)# crypto ipsec transform-set test-set esp-aes esp-md5-hmac
ASA-3(config)# crypto map test-map 1 match address lan3_lan1
ASA-3(config)# crypto map test-map 1 set peer 201.0.0.1
ASA-3(config)# crypto map test-map 1 set transform-set test-set
ASA-3(config)# crypto map test-map interface outside

配置至此，分公司2的R4路由器就可以ping通总公司的R1路由器了。

3、配置分公司2和分公司3的虚拟专用网（其实就是配置几条ACL即可）：