Cisco-Asa

將站點到站點 VPN 從 PIX 轉換為 ASA 8.2

  • June 1, 2011

我一直在努力將配置從 PIX 轉換為 ASA 8.2,但我在站點到站點 vpn 部分遇到了一些麻煩。PIX 具有客戶端 VPN 和站點到站點。由於站點到站點的某些配置跨越了客戶端 VPN,我感到很困惑。任何幫助將不勝感激。

以下是 PIX 中相關 VPN 命令的摘錄。

access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any 
access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240 
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0 
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240 
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0 

ip local pool DHCP_Pool 192.168.0.161-192.168.0.174

nat (inside) 0 access-list inside_outbound_nat0_acl

sysopt connection permit-vpn
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL 
crypto map outside_map interface outside
isakmp enable outside
isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode 
isakmp nat-traversal 180
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup GHA_Remote address-pool DHCP_Pool
vpngroup GHA_Remote dns-server 192.168.0.11
vpngroup GHA_Remote wins-server 192.168.0.11
vpngroup GHA_Remote default-domain x.org
vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl
vpngroup GHA_Remote idle-time 1800
vpngroup GHA_Remote password KEY

我想我真正要問的是是否有人可以將此 VPN 配置的站點到站點版本轉換為 ASA 8.2,以便我可以將其與我所擁有的進行比較。我需要這個,所以我可以把它放在適當的位置並工作。

此外,似乎沒有使用 isakmp 策略 40,對嗎?

以下命令是我無法直接輸入的唯一命令:

crypto map outside_map 20 ipsec-isakmp

我收到一個錯誤:% Incomplete 命令然後我看到我需要添加動態“動態地圖名稱”我不確定我需要將它綁定到哪個動態地圖。

你為什麼要手動做這一切?思科提供 Pix 到 ASA 遷移工具。通過它執行您的配置,然後在將其投入生產之前驗證結果(並停止使用 des 加密。使用 3des 或 aes)。

編輯:

對不起。自從我使用該遷移工具以來已經有一段時間了。我以為它做了VPN的東西。這是您的配置應該是什麼樣子。如果你只是做站點到站點,那麼那裡有很多額外的東西是不需要的,所以我把它拿出來了。我還讓你使用 3des 加密:

訪問列表Inside_outbound_nat0_acl允許IP任何192.168.0.160 255.255.255.240

訪問列表Inside_outbound_nat0_acl允許IP主機Zenoss_OS NoC 255.255.25.0

Access-List Insever_outbound_Nat0_ACL允許IP主機Silverback NoC 255.255.255.0

Access-List Inside_outbound_Nat0_ACL Permit IP Host Enoss_Hardware Noc 255.255.255.0

訪問-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0

access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0

access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0

nat(內部)0 訪問列表 inside_outbound_nat0_acl

加密 ipsec 轉換集 ESP-3DES-SHA esp-3des esp-sha-hmac

加密 ipsec 安全關聯生命週期秒 28800

加密 ipsec 安全關聯生命週期千字節 4608000

加密映射 outside_map 20 匹配地址 outside_cryptomap_20

加密映射 outside_map 20 設置對等體 205.x .29.41

加密映射 outside_map 20 設置轉換集 ESP-3DES-SHA

加密映射 outside_map 介面外部

加密 isakmp 啟用外部

加密 isakmp 策略 20

身份驗證預共享

加密 3des

雜湊 sha

組 2

生命週期 43200

隧道組 205.x.29.41 類型 ipsec -l2l

隧道組 205.x.29.41 ipsec 屬性

預共享密鑰 KEY

引用自:https://serverfault.com/questions/275889