將站點到站點 VPN 從 PIX 轉換為 ASA 8.2
我一直在努力將配置從 PIX 轉換為 ASA 8.2,但我在站點到站點 vpn 部分遇到了一些麻煩。PIX 具有客戶端 VPN 和站點到站點。由於站點到站點的某些配置跨越了客戶端 VPN,我感到很困惑。任何幫助將不勝感激。
以下是 PIX 中相關 VPN 命令的摘錄。
access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240 access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0 access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0 access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0 access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240 access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0 access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0 access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0 ip local pool DHCP_Pool 192.168.0.161-192.168.0.174 nat (inside) 0 access-list inside_outbound_nat0_acl sysopt connection permit-vpn crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5 crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set peer 205.x.29.41 crypto map outside_map 20 set transform-set ESP-DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map client authentication LOCAL crypto map outside_map interface outside isakmp enable outside isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode isakmp nat-traversal 180 isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 isakmp policy 40 authentication pre-share isakmp policy 40 encryption des isakmp policy 40 hash sha isakmp policy 40 group 2 isakmp policy 40 lifetime 86400 vpngroup GHA_Remote address-pool DHCP_Pool vpngroup GHA_Remote dns-server 192.168.0.11 vpngroup GHA_Remote wins-server 192.168.0.11 vpngroup GHA_Remote default-domain x.org vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl vpngroup GHA_Remote idle-time 1800 vpngroup GHA_Remote password KEY我想我真正要問的是是否有人可以將此 VPN 配置的站點到站點版本轉換為 ASA 8.2,以便我可以將其與我所擁有的進行比較。我需要這個,所以我可以把它放在適當的位置並工作。
此外,似乎沒有使用 isakmp 策略 40,對嗎?
以下命令是我無法直接輸入的唯一命令:
crypto map outside_map 20 ipsec-isakmp我收到一個錯誤:% Incomplete 命令然後我看到我需要添加動態“動態地圖名稱”我不確定我需要將它綁定到哪個動態地圖。
你為什麼要手動做這一切?思科提供 Pix 到 ASA 遷移工具。通過它執行您的配置,然後在將其投入生產之前驗證結果(並停止使用 des 加密。使用 3des 或 aes)。
編輯:
對不起。自從我使用該遷移工具以來已經有一段時間了。我以為它做了VPN的東西。這是您的配置應該是什麼樣子。如果你只是做站點到站點,那麼那裡有很多額外的東西是不需要的,所以我把它拿出來了。我還讓你使用 3des 加密:
訪問列表Inside_outbound_nat0_acl允許IP任何192.168.0.160 255.255.255.240
訪問列表Inside_outbound_nat0_acl允許IP主機Zenoss_OS NoC 255.255.25.0
Access-List Insever_outbound_Nat0_ACL允許IP主機Silverback NoC 255.255.255.0
Access-List Inside_outbound_Nat0_ACL Permit IP Host Enoss_Hardware Noc 255.255.255.0
訪問-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0
nat(內部)0 訪問列表 inside_outbound_nat0_acl
加密 ipsec 轉換集 ESP-3DES-SHA esp-3des esp-sha-hmac
加密 ipsec 安全關聯生命週期秒 28800
加密 ipsec 安全關聯生命週期千字節 4608000
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
加密映射 outside_map 20 設置對等體 205.x .29.41
加密映射 outside_map 20 設置轉換集 ESP-3DES-SHA
加密映射 outside_map 介面外部
加密 isakmp 啟用外部
加密 isakmp 策略 20
身份驗證預共享
加密 3des
雜湊 sha
組 2
生命週期 43200
隧道組 205.x.29.41 類型 ipsec -l2l
隧道組 205.x.29.41 ipsec 屬性
預共享密鑰 KEY