cisco 9.X版本的ASA ipsec VPN配置

cisco 9.X版本的ASA ipsec VPN配置
第1阶段(IKEv1)
在外部接口上启用IKEv1:
crypto ikev1 enable outside

crypto ikev1 policy 1 //定义IKEv1策略,优先级（10为优先级,数值越大，优先级越低）
authentication pre-share //定义认证方式
encryption aes //定义加密算法
hash sha //定义散列算法
group 2 //定义密钥交换协议
lifetime 86400

tunnel-group 137.78.10.1 type ipsec-l2l //设置隧道组，隧道组名称为对端IP,类型为站点到站点
tunnel-group 137.78.10.1 ipsec-attributes //进入ipsec属性设置
ikev1 pre-shared-key cisco //预共享密码为cisco

第2阶段(IPsec)
创建定义要加密和隧道化的流量的访问列表。
object network source_net //定义网络对象，名为source_net
subnet 172.16.10.0 255.255.255.0 //源子网
object network destination_net //定义网络对象，名为destination_net
subnet 172.16.30.0 255.255.255.0 //目标子网

access-list 100 extended permit ip object source_net object destination_net //访问列表，允许源IP与目标IP

配置转换集(TS)，其中必须包含关键字 IKEv1.在远程端也必须创建相同的TS。
crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac //创建IPSec变换集,名称为myset

在外部接口上应用加密映射：
crypto map outside_map 20 match address 100 //配置加密映射集
crypto map outside_map 20 set peer 137.78.10.1 //设置对端IP
crypto map outside_map 20 set ikev1 transform-set myset //绑定变换集
crypto map outside_map 20 set pfs //
crypto map outside_map interface outside //加密映射集应用到接口

可选的完全向前保密(PFS)设置，创建用于保护数据的新Diffie-Hellman密钥对（在第2阶段出现之前，两端都必须启用PFS）

NAT免除
确保VPN流量不受任何其他NAT规则的约束。 以下是所使用的NAT规则：
nat (inside,outside) 1 source static source_net source_net destination static
destination_net destination_net no-proxy-arp route-lookup

验证结果：
第 1 阶段
v8.4以上新版本
show crypto ikev1 sa
或
v8.3以下旧版本
show crypto isakmp sa

第 2 阶段
how crypto ipsec sa

故障排除
使用本部分提供的信息排除配置问题。

ASA版本8.4及更高版本
输入以下debug命令以确定隧道故障的位置：
debug crypto ikev1 127 (第 1 阶段)
debug crypto ipsec 127 (第 2 阶段)

ASA版本8.3及更低版本
输入以下debug命令以确定隧道故障的位置：
debug crypto isakmp 127 (第 1 阶段)
debug crypto ipsec 127 (第 2 阶段)