버전 정보 :
시스코 적응 형 보안 어플라이언스 소프트웨어 버전 9.9 (2)
화력 확장 운영 체제 버전 2.3 (1.84)
장치 관리자 버전 7.9 (2)
이전 버전은 동일한 구성하지 않습니다
2.1 기본 경로
다음 홉 주소는 일반적으로 운영자에 의해 제공된다 0.0.0.0 0.0.0.0 100.0.0.2 # 1 ASA-1 (구성) 경로 외부
2.2 ISAKMP 정책 구성 (IKE 협상의 첫 단계)
ikev1 외부 # 인터페이스 ikev1 비밀 키 관리 프로토콜 외부를 수 있도록 #crypto ASA1 (구성)
ASA1 (구성) ikev1 정책 1 개 # 전략 #crypto 높을수록 더 높은 우선 순위 통화
ASA1 (구성 - ikev1 정책) #encryption AES # 암호화 모두 일관된 정책
ASA1 (구성 - ikev1 정책) #hash 샤 # 해시 알고리즘은 데이터 일관성을 보장하기 위해 서명으로, 양측이 합의 유지
ASA1 (구성 - ikev1 정책) #authentication 전 주 # 사전 설정 키 인증
ASA1 (구성 - ikev1 정책) 2 #group
ASA1 (구성) # 터널 그룹 200.0.0.1 형 IPsec으로 l2l 랜 # 사전 터널 형 LAN
ASA1 (구성) # 터널-그룹은 피어 IP 주소를 용이하게하기 위해 서면 메모리 구성은 IPSec을 속성 # 사용자 정의 빨간색 부분 이름을, IPSec을 속성 200.0.0.1
ASA1 (구성 터널 - IPSec을) # ikev1는 사전 공유 키 키 123456 # 빨간색 부분, 양측 합의
ACL에 2.3을 구성 (두 번째 단계가 시작, 특정 보호 데이터 스트림)
ASA1 (구성) # 액세스 목록 100 확장 허용 IP 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
(- 피어 로컬) 여기에 좋은 #의 ACL 및 암호화지도 세트의 목록이 일치하도록이다
2.4 구성 IPSec 정책 (변환 세트)
ASA1 (구성)의 IPSec #crypto ikev1-변환 설정 새로운 세트 ESP-AES ESP-SHA-HMAC
2.5 구성 암호화지도 세트
(구성) 1 개 일치하는 주소 100 # 매칭 ASA1의 ACL 위에 새로운-map지도 #crypto
ASA1 (구성)은 새로운 맵 1 개 세트 피어 200.0.0.1 # 설정 피어의 주소를 매핑 #crypto
ASA1 (구성) 새로운 매핑 1 개 세트 세트 변환 ikev1 새로운 세트를 매핑 #crypto
매핑 세트의 2.6 응용 인터페이스
ASA1 (구성) 새로운 맵 인터페이스 외부 번호를 매핑 #crypto 어디 일련 번호 레이블 뒤에 없습니다
2.7 NAT 및 NAT 면제
ASA1 (구성) 물체 내부 네트워크
로컬 네트워크 영역에서 정의 ASA1 (구성 - 네트워크 개체) 서브넷 192.168.1.0 255.255.255.0 #
ASA1 (구성) 물체 내부 네트워크
ASA1 (구성 - 네트워크 개체) NAT (내부, 외부) 동적 인터페이스 #NAT 重载
ASA1 (구성) 물체 네트워크 원격
ASA1 (구성 - 네트워크 개체) 10.1.1.0 255.255.255.0 서브넷 #는 서로 내부 네트워크 세그먼트를 정의
ASA1 (구성) NAT (내부, 외부) 내부의 고정 대상 내부 소스 정적 원격 원격 #nat 예외 이러한 수단은 원격 액세스 네트워크 영역의 액세스 네트워크 주소 내부 어드레스와 동일한 어드레스가 아닌 변환 ( 글로벌 모드 )
2.8주의 사항
이 같은 보안 트래픽을 구성해야 인터페이스 ASA 동일한 보안 수준이 간 인터페이스, 서로에 액세스 할 수있는 보안 포트 그렇지 않으면 동일한 수준을 허용하는 경우 1, VPN 통과하지 않습니다.
2, 보안 외부의 권장 수준 아래 입안 보안 수준 CISICO 기본 높은 보안 수준이 낮은 보안 수준 인터페이스에 액세스 할 수 있기 때문에
3로 구성된 다른 서버에 따라 최종 주소의 변화에 다시주의를 기울 그것을 다시 할 다를 수 있습니다 세트와 세트 ACL 이름을 매핑하지만, 암호화 및 이러한 해싱은 일치해야합니다.