版本信息：

Cisco Adaptive Security Appliance Software Version 9.9(2)

Firepower Extensible Operating System Version 2.3(1.84)

Device Manager Version 7.9(2)

老版本配置不一樣

2.1 默認(rèn)路由

ASA-1(config)  route outside 0.0.0.0 0.0.0.0 100.0.0.2 1              #下一跳地址一般由運(yùn)營商提供

2.2配置ISAKMP策略（第一階段，協(xié)商IKE SA）

ASA1(config)#crypto ikev1 enable outside    #在外部接口啟用ikev1秘鑰管理協(xié)議

ASA1(config)#crypto ikev1 policy 1          #策略越高，調(diào)用優(yōu)先級(jí)越高

ASA1(config-ikev1-policy)#encryption aes    #加密策略雙方保持一致

ASA1(config-ikev1-policy)#hash sha         #哈希算法雙方保持一致，用作簽名，確保數(shù)據(jù)一致性

ASA1(config-ikev1-policy)#authentication pre-share     #預(yù)置秘鑰認(rèn)證，用來身份認(rèn)證

ASA1(config-ikev1-policy)#group 2   #DH組2，使用的是 1024 位密鑰，用來生成aes密鑰加密和解密數(shù)據(jù)

ASA1 (config)# tunnel-group 200.0.0.1 type ipsec-l2l    #預(yù)隧道類型為lan to lan

ASA1 (config)# tunnel-group 200.0.0.1 ipsec-attributes   #紅色部分為自定義的名字，這里為了方便記憶寫成了對(duì)端IP地址，配置ipsec的屬性

ASA1 (config-tunnel-ipsec)# ikev1 pre-shared-key 123456   #紅色部分為密鑰，雙方一致

#這一步主要協(xié)商如何對(duì)后續(xù)的IPSEC SA中所交換的密鑰進(jìn)行保護(hù)，對(duì)會(huì)話和隧道進(jìn)行保護(hù)，保證后續(xù)的IPSEC 中所約定的密鑰材料（加密方式 哈希方式）的安全

2.3配置ACL （第二階段開始，保護(hù)具體數(shù)據(jù)流）

ASA1(config)# access-list 100 extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0

#這里的acl列表好要和加密映射集的一致（本地-對(duì)端）

2.4配置IPSec策略（轉(zhuǎn)換集 IPSEC SA）

ASA1(config)#crypto ipsec ikev1 transform-set new-set esp-aes esp-sha-hmac

#這個(gè)配置主要是定義一個(gè)數(shù)據(jù)轉(zhuǎn)換方式，所有的數(shù)據(jù)庫按照轉(zhuǎn)換集進(jìn)行數(shù)據(jù)處理（用aes加密數(shù)據(jù)實(shí)現(xiàn)保密性，通過HMAC算法 使用一個(gè)密鑰與消息數(shù)據(jù)一起通過哈希函數(shù)sha計(jì)算出一個(gè)值，用來做完整性校驗(yàn)）
#這一步協(xié)商如何對(duì)具體的數(shù)據(jù)流進(jìn)行保護(hù)

2.5配置加密映射集

ASA1(config)#crypto map new-map 1 match address 100   #匹配上面的acl

ASA1(config)#crypto map new-map 1 set peer 200.0.0.1     #設(shè)置對(duì)端的地址

ASA1(config)#crypto map new-map 1 set ikev1 transform-set new-set
#這三調(diào)命令的意思是，如果數(shù)據(jù)流匹配acl 100 且對(duì)端ip地址是200.0.0.1,則按照2.4new-set中所約定的規(guī)則進(jìn)行數(shù)據(jù)轉(zhuǎn)化

2.6將映射集應(yīng)用在接口

ASA1(config)#crypto map new-map interface outside   #此處標(biāo)簽后邊沒有序列號(hào)
#將數(shù)據(jù)轉(zhuǎn)換規(guī)則應(yīng)用到端口，只有在該端口上才進(jìn)行數(shù)據(jù)轉(zhuǎn)化

2.7 NAT和NAT豁免

ASA1(config)object network inside

ASA1 (config-network-object)subnet 192.168.1.0 255.255.255.0  #定義本地的內(nèi)網(wǎng)網(wǎng)段

ASA1(config)object network inside

ASA1 (config-network-object)nat (inside,outside) dynamic interface   #NAT重載




ASA1(config)object network remote

ASA1 (config-network-object)subnet 10.1.1.0 255.255.255.0      #定義對(duì)方的內(nèi)網(wǎng)網(wǎng)段

ASA1(config)nat (inside,outside) source static inside inside destination static remote remote  #nat豁免，這句話的意思是，inside網(wǎng)段的地址訪問remote網(wǎng)段的地址，就用相同的地址訪問，不進(jìn)行轉(zhuǎn)換（全局模式下）

2.8 注意點(diǎn)

1、如果ASA接口的security-level相同則需要配置same-security-traffic permit inter-interface，否則安全級(jí)別相同的端口無法互相訪問，VPN也不會(huì)通。

2、建議inside口的安全級(jí)別低于outside的安全級(jí)別，因?yàn)镃ISICO默認(rèn)高安全級(jí)別可以訪問低安全級(jí)別的接口

3、另一臺(tái)服務(wù)器按照配置重新做一遍即可，注意對(duì)端地址的改變，map集set 和acl  名字可以不一樣，但是加密方式和哈希這些必須保持一致。