ASDM 6.4：使用IKEv2的站點到站點VPN隧道的配置示例

下載選項

PDF (379.4 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (82.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (67.8 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2012 年 3 月 30 日

文件 ID:113486

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

運行軟體版本8.4及更高版本的Cisco ASA 5500系列自適應安全裝置
Cisco ASDM軟體6.4版及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

IKEv2是對現有IKEv1協定的增強，包括以下優勢：

減少IKE對等體之間的消息交換
單向驗證方法
內建對失效對等體檢測(DPD)和NAT遍歷的支援
使用可延伸驗證通訊協定(EAP)進行驗證
使用防堵塞Cookie消除簡單DoS攻擊的風險

登入ASDM，然後轉到Wizards > VPN Wizards > Site-to-site VPN Wizard。
出現站點到站點VPN連線設定窗口。按「Next」（下一步）。
指定對等IP地址和VPN訪問介面。按「Next」（下一步）。
選擇兩個IKE版本，然後按一下Next。

注意：此處配置了IKE的兩個版本，因為當IKEv2發生故障時，發起方可以從IKEv2備份到IKEv1。
指定本地網路和遠端網路，以便加密這些網路之間的流量並透過VPN隧道。按「Next」（下一步）。
為兩個IKE版本指定預共用金鑰。

IKE版本1和版本2之間的主要區別在於它們允許的身份驗證方法。IKEv1在VPN兩端只允許一種型別的身份驗證（即預共用金鑰或證書）。但是，IKEv2允許使用單獨的本地和遠端身份驗證CLI配置非對稱身份驗證方法（即發起方使用預共用金鑰身份驗證，響應方使用證書身份驗證）。

此外，您可以在兩端使用不同的預共用金鑰。HQ-ASA端的本地預共用金鑰將成為BQ-ASA端的遠端預共用金鑰。同樣，HQ-ASA端的遠端預共用金鑰將成為BQ-ASA端的本地預共用金鑰。
指定IKE版本1和2的加密演算法。此處接受預設值：
按一下Manage...以修改IKE策略。

附註：
- IKEv2中的IKE策略與IKEv1中的ISAKMP策略同義。
- IKEv2中的IPsec建議與IKEv1中的轉換集同義。
當您嘗試修改現有策略時，會出現以下消息：

按一下OK以繼續。
選擇指定的IKE策略，然後按一下Edit。
您可以修改引數，例如Priority、Encryption、D-H Group、Integrity Hash、PRF Hash和Lifetime值。完成後按一下OK。

IKEv2允許將完整性演算法與偽隨機函式(PRF)演算法分開協商。這可以在IKE策略中配置，當前可用選項為SHA-1或MD5。

不能修改預設情況下定義的IPsec建議引數。按一下IPSec Proposal欄位旁的Select以增加新引數。就IPsec提議而言，IKEv1和IKEv2之間的主要區別在於，IKEv1接受加密和身份驗證演算法組合的轉換集。IKEv2分別接受加密和完整性引數，並最終生成這些引數的所有可能的OR組合。您可以在此嚮導的末尾的「摘要」幻燈片中檢視這些內容。
按「Next」（下一步）。
指定詳細資訊，例如NAT免除、PFS和介面ACL繞過。選擇Next。
配置摘要可在此處檢視：

按一下Finish完成站點到站點VPN隧道嚮導。使用配置的引數建立新的連線配置檔案。