Преобразование VPN типа "сеть-сеть" из PIX в ASA 8.2

Question

Преобразование VPN типа "сеть-сеть" из PIX в ASA 8.2

Я работал над преобразованием конфигурации из PIX в ASA 8.2, но у меня возникли некоторые проблемы с сайтом на сайт vpn часть его. PIX имеет как клиентский VPN, так и сайт-сайт. Так как некоторые конфигурации для сайта пересекают клиентскую VPN, я запутался. Любая помощь будет оказана.

Ниже приведены выдержки только из соответствующих команд VPN от PIX.

access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any 
access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240 
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0 
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240 
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0 

ip local pool DHCP_Pool 192.168.0.161-192.168.0.174

nat (inside) 0 access-list inside_outbound_nat0_acl

sysopt connection permit-vpn
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL 
crypto map outside_map interface outside
isakmp enable outside
isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode 
isakmp nat-traversal 180
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup GHA_Remote address-pool DHCP_Pool
vpngroup GHA_Remote dns-server 192.168.0.11
vpngroup GHA_Remote wins-server 192.168.0.11
vpngroup GHA_Remote default-domain x.org
vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl
vpngroup GHA_Remote idle-time 1800
vpngroup GHA_Remote password KEY

Я предполагаю, что я действительно спрашиваю, может ли кто-то преобразовать версию этого VPN-конфигурации "сайт-сайт" в ASA 8.2, чтобы я мог сравнить ее с тем, что у меня есть. Мне нужно иметь это, чтобы я мог просто уронить его на место и работать.

Также не похоже, что isakmp policy 40 используется, правильно?

Следующая команда - единственная команда, которую я не могу ввести напрямую:

crypto map outside_map 20 ipsec-isakmp

Я получаю команду ERROR: % Incomplete. Затем я вижу, что мне нужно добавить динамическое "имя динамической карты". Я не уверен, к какой динамической карте мне нужно привязать это.

2

cisco-asa cisco-pix

Источник

evolvd 01 июн '11 в 13:03

1 ответ

Решение

Другие вопросы по тегам cisco-asa cisco-pix

Jason Berg 01 июн '11 в 14:07 2011-06-01 14:07 · Accepted Answer · 2011-06-01 14:07

Почему вы делаете все это вручную? Cisco предлагает инструмент миграции Pix to ASA. Запустите вашу конфигурацию через нее, а затем просто проверьте результаты, прежде чем запускать ее в производство (и прекратите использовать шифрование des. Используйте 3des или aes).

РЕДАКТИРОВАТЬ:
Сожалею. Прошло много времени с тех пор, как я использовал этот инструмент миграции. Я думал, что это делает вещи VPN. Вот как должна выглядеть ваша конфигурация. Там было много лишних вещей, которые вам не нужны, если вы просто делаете сайт на сайте, поэтому я взял его. Я также поставил вас на 3des шифрование:

access-list inside_outbound_nat0_acl разрешить ip любой 192.168.0.160 255.255.255.240
access-list inside_outbound_nat0_acl разрешить ip-хост Zenoss_OS NOC 255.255.255.0
access-list inside_outbound_nat0_acl разрешить ip-хост SilverBack NOC 255.255.255.0
access-list inside_outbound_nat0_acl разрешить ip host enoss_Hardware NOC 255.255.255.0
access-list outside_cryptomap_20 разрешить ip-хост Zenoss_OS NOC 255.255.255.0
access-list outside_cryptomap_20 разрешить ip-хост SilverBack NOC 255.255.255.0
access-list outside_cryptomap_20 разрешить ip-хост Zenoss_Hardware NOC 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
время жизни ассоциации безопасности crypto ipsec секунд 28800
время жизни ассоциации безопасности crypto ipsec в килобайтах 4608000
криптокарта outside_map 20 совпадает с адресом outside_cryptomap_20
криптокарта outside_map 20 установить одноранговый узел 205.x.29.41
криптографическая карта outside_map 20 set transform-set ESP-3DES-SHA
криптографическая карта outside_map интерфейс снаружи
шифрование isakmp включить снаружи
политика шифрования isakmp 20
предварительный обмен аутентификацией
шифрование 3des
хаш ша
группа 2
срок службы 43200
туннельная группа 205.x.29.41 тип ipsec-l2l
туннельная группа 205.x.29.41 ipsec-атрибуты
КЛЮЧ с предварительным общим ключом