文本版|topic 高级搜索
   名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 专题 求职 读书
 RSS 底部
 
社区导航: 专家门诊   网络技术   操作系统   数据库   程序设计   系统应用   考试认证   CIO及信息化   站长交流   综合交流   下载基地  51CTO产品服务 设为首页 | 收藏本站
51CTO技术论坛» 思科技术 » IOS-ASA Pre-share IPSec VPN 配置       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]
 

论坛跳转:
     
标题: [原创] IOS-ASA Pre-share IPSec VPN 配置  ( 查看:148  回复:3 )   
 
maxl
新新人类  点击可查看详细



帖子 14
精华 0
无忧币 8
积分 8
阅读权限 20
注册日期 2008-6-5
最后登录 2008-8-9 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2008-6-10 16:17   标题:IOS-ASA Pre-share IPSec VPN 配置
上一帖 |
IOS-ASA Pre-share IPSec VPN 配置
配置中也顺便加入了NAT部分的配置。


1、在r1上配置IPSec VPN。
hostname r1
!
crypto isakmp policy 10
encr 3des
authentication pre-share
hash sha
group 2
crypto isakmp key cisco1234 address 218.1.1.1
!
crypto ipsec transform-set ccsp esp-3des esp-sha-hmac
mode tunnel
!
crypto map cisco 10 ipsec-isakmp
set peer 218.1.1.1
set transform-set ccsp
match address 102
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Serial0/0
ip address 173.16.1.5 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map cisco
!
ip route 0.0.0.0 0.0.0.0 173.16.1.6
!
ip nat inside source list 101 interface Serial0/0 overload
!         
access-list 101 deny   ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
!定义NAT感兴趣流,要将IPSec流量在NAT中去掉

access-list 102 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
!定义IPSec感兴趣流

2、在ASA上配置IPSec VPN。
hostname ciscoasa
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 218.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.2.2.1 255.255.255.0
!
access-list per-icmp extended permit icmp any any
access-group per-icmp in interface outside
!
access-list go-vpn extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
!
nat-control
global (outside) 1 interface
nat (inside) 0 access-list go-vpn
!IPSec流量不作翻译

nat (inside) 1 10.2.2.0 255.255.255.0
!由于PIX/ASA在执行NAT时,对nat id是区分先后的,即先执行nat 0,然后执行nat 1,所以在此不必特别的注明IPSec流量不作翻译。

route outside 0.0.0.0 0.0.0.0 218.1.1.2 1
!
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
!
tunnel-group 173.16.1.5 type ipsec-l2l
tunnel-group 173.16.1.5 ipsec-attributes
pre-shared-key *
!
pix/asa 7.x新命令,在此处配置预共享密钥和VPN类型,值得注意的是,当配置lan2lan (site2site) VPN时,tunnel-group的名字必须为对等体的IP地址。
!
crypto ipsec transform-set ccsp esp-3des esp-sha-hmac
crypto map cisco 10 match address go-vpn
crypto map cisco 10 set peer 173.16.1.5
crypto map cisco 10 set transform-set ccsp
crypto map cisco interface outside

论坛活动:测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-6-10 16:171楼
[ 顶部 ]
 
hziee606
副版主  点击可查看详细


帖子 3025
精华 0
无忧币 2989
积分 3066
阅读权限 140
注册日期 2007-4-29
最后登录 2008-10-9 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2008-6-11 23:27 
学习学习!~ 谢谢LZ共享 ^_^

QQ:49664253 MSN:biwei_nb@hotmail.com E-mail:biwei_nb@163.com
2008-6-11 23:272楼
[ 顶部 ]
 
purple555
新新人类  点击可查看详细


十二生肖之鼠   天秤座   行业勋章   技术勋章   诚信兄弟  
帖子 79
精华 0
无忧币 3
积分 104
阅读权限 20
注册日期 2008-5-10
最后登录 2008-9-25 离线

[查看资料]  [发短消息]  [Blog
  QQ       
发表于:2008-6-17 10:00 
感谢楼主共享!

论坛活动:测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-6-17 10:003楼
[ 顶部 ]
 
zhxuan
新新人类  点击可查看详细



帖子 12
精华 0
无忧币 -2
积分 10
阅读权限 20
注册日期 2007-5-10
最后登录 2008-7-14 离线

[查看资料]  [发短消息]  [Blog
       
发表于:2008-6-17 10:40 
look

论坛活动:测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-6-17 10:404楼
[ 顶部 ]
     
论坛跳转:  

| | |
| | |
| | |
标记已读 · 删除论坛Cookies · 文本版 · WAP
 
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图
Copyright©2005-2008 51CTO.COM  Powered by Discuz!
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系。
京ICP备05051492号