用于多个加密映射的 Cisco ASA 单 isakmp 策略

网络工程思科思科虚拟专用网网络安全

2021-07-14 05:58:30

我们将设置多个site-to-site隧道到我们的远程办公室，每个隧道配置都是相同的（相同的哈希、加密等）。

问题是：我是否需要isakmp为每个隧道创建一个单独的策略，还是我只定义一个策略并且它将与多个crypto map（第 2 阶段）配置共享该策略？

我有以下政策：

crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800

这是加密映射 site0

crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn_site0 1 match address ACL_VPN_SITE0
crypto map vpn_site0 1 set pfs
crypto map vpn_site0 1 set peer 35.35.35.1
crypto map vpn_site0 1 set ikev1 transform-set ESP-AES-SHA
crypto map vpn_site0 1 set security-association lifetime seconds 3600
crypto map avpn_site0 interface outside

问题：

如果一切都相同，我是否需要制定isakmp政策site1？isakmp政策如何与crypto map?
我可以crypto ipsec ikev1 transform-set ESP-AES-SHA esp-aes esp-sha-hmac对所有其他站点使用相同的转换吗？

1个回答

答案是：不，您（不需要）不能为具有相同 isakmp 策略设置的不同隧道创建单独（相同/重复）的 isakmp 策略。这意味着如果您crypto ikev1 policy 10在总部和远程办公室的防火墙上只有一个和相同的防火墙，那就足够了。
- 如果您尝试创建另一个相同的 isakmp 策略（让我们说策略 20），ASA 防火墙将不会接受它并抛出消息ikev1 policy 20 is superceded by identical policy 10。
- 当我们在 ASA 防火墙上有多个 isakmp 策略时
  ，发起 ISAKMP 协商的防火墙会将其所有
  策略发送到另一端以找到匹配项。远程端开始按照优先级顺序（最高优先级 - 最低策略编号）
  根据每个配置的
  策略检查对等方的所有策略
  。
对于您的第二个问题：是的，跨 VPN 隧道配置的相同 ikev1 转换集（IPSec 策略）应该不成问题。
我发现你的crypto map配置有问题。crypto map vpn_site0并且crypto map avpn_site0不匹配

每个接口只能应用一个加密映射，这里是外部接口。如果您有多个 S2S VPN 隧道，则必须使用具有不同优先级编号的相同加密映射。因此，您应该命名您的加密映射有意义，并将其用于在该外部接口上终止的所有隧道。

我建议加密映射名称crypto map vpn_sites具有以下配置：

crypto map vpn_sites 1 match address ACL_VPN_SITE0
...
crypto map vpn_sites 1 set security-association lifetime seconds 3600
crypto map vpn_sites 2 match address ACL_VPN_SITE1
...
crypto map vpn_sites 2 set security-association lifetime seconds 3600
crypto map vpn_sites 3 match address ACL_VPN_SITE2
...
crypto map vpn_sites 3 set security-association lifetime seconds 3600
...
crypto map vpn_sites interface outside

其它你可能感兴趣的问题

上一篇Cisco ASA 路由外部轨道配置下一篇在第 2 层 (MAC) 中，错误未被检测到的情况多久发生一次？