问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

思科防火墙ASA5520 ipsec 配置实例

发布网友 发布时间:2024-01-09 23:26

我来回答

1个回答

热心网友 时间:2024-07-27 15:33

ASA Local:

ASA Version 7.X

no names

!

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 30.30.30.1 255.255.255.0

!--- This line allows the unicast of OSPF over the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.

!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco

!

interface GigabitEthernet0/1

 nameif inside

 security-level 100

 ip address 10.10.10.1 255.255.255.0

!

interface GigabitEthernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface GigabitEthernet0/3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

!

enable password cisco encrypted

passwd cisco encrypted

hostname Local

ftp mode passive

!--- These access control list (ACL) entries define 

!--- interesting traffic for IPsec encryption and allow

!--- the traffic to bypass NAT. Note that OSPF is permitted and only 

!--- in the crypto ACL. 

same-security-traffic permit intra-interface

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0

access-list outside_cryptomap_10 extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0

access-list outside_cryptomap_10 extended permit ospf interface outside host 40.40.40.2

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp permit any echo outside

icmp permit any echo-reply outside

icmp permit any echo inside

icmp permit any echo-reply inside

asdm image disk0:/asdm-502.bin

no asdm history enable

arp timeout 14400

global (outside) 10 interface

!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat

nat (inside) 10 10.10.10.0 255.255.255.0

!

!--- This is OSPF. 

!--- Note: You must define the outside network of the remote peer.

router ospf 100

 network 10.10.10.0 255.255.255.0 area 0

 network 30.30.30.0 255.255.255.0 area 0

 network 40.40.40.0 255.255.255.0 area 0

!--- This is where OSPF is told where the 

!--- PEER is located.

 neighbor 40.40.40.2 interface outside

 log-adj-changes

!

!--- This is a host based static. This is not always 

!--- necessary, but recommended to prevent recursive routing loops when 

!--- OSPF comes up over the IPsec tunnel. 

route outside 40.40.40.2 255.255.255.255 30.30.30.2 1

route outside 0.0.0.0 0.0.0.0 30.30.30.2 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00

h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.4.50 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp         

!--- This is the IPsec and IKE/ISAKMP configuration. 

!--- Make sure basic IPsec connectivity is present

!--- before you add in OSPF. 

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map outside_map 10 match address outside_cryptomap_10

crypto map outside_map 10 set peer 40.40.40.2

crypto map outside_map 10 set transform-set myset

crypto map outside_map 10 set security-association lifetime seconds 86400

crypto map outside_map interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share

isakmp policy 65535 encryption 3des

isakmp policy 65535 hash sha

isakmp policy 65535 group 2

isakmp policy 65535 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

tunnel-group 40.40.40.2 type ipsec-l2l

tunnel-group 40.40.40.2 ipsec-attributes

 pre-shared-key cisco

class-map inspection_default

match default-inspection-traffic

policy-map asa_global_fw_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy asa_global_fw_policy global

Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28

: end

ASA Remote:

ASA Version 7.X

no names

!

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 40.40.40.2 255.255.255.0

!--- This line allows the unicast of OSPF over to

!--- the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.

!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco

!

interface GigabitEthernet0/1

 nameif inside

 security-level 100

 ip address 20.20.20.1 255.255.255.0

!

interface GigabitEthernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface GigabitEthernet0/3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

!

enable password cisco encrypted

passwd cisco encrypted

hostname Remote

ftp mode passive

!--- These ACL entries define interesting traffic for IPsec encryption and allow

!--- the traffic to bypass NAT. Note that OSPF is permitted and only in the crypto ACL.

same-security-traffic permit intra-interface

access-list nonat extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

access-list crypto extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

access-list crypto extended permit ospf interface outside host 30.30.30.1

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp permit any echo outside

icmp permit any echo-reply outside

icmp permit any echo inside

icmp permit any echo-reply inside

asdm image disk0:/asdm-502.bin

no asdm history enable

arp timeout 14400

global (outside) 20 interface

!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat

nat (inside) 20 20.20.20.0 255.255.255.0

!

!--- This is OSPF. 

!--- Note: You must define the remote peer's outside network.

router ospf 100

 network 20.20.20.0 255.255.255.0 area 0

 network 30.30.30.0 255.255.255.0 area 0

 network 40.40.40.0 255.255.255.0 area 0

!--- This is where the OSPF is told where the PEER is located.

 neighbor 30.30.30.1 interface outside

 log-adj-changes

!

!--- This is a host based static. This is not always necessary, but recommended to

prevent recursive routing loops when OSPF comes up over the IPsec tunnel.

route outside 0.0.0.0 0.0.0.0 40.40.40.1 1

route outside 30.30.30.1 255.255.255.255 40.40.40.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00

h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.4.50 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp         

!--- This is the IPsec configuration. Make sure basic IPsec connectivity is present

before you add in OSPF. 

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map vpn 10 match address crypto

crypto map vpn 10 set peer 30.30.30.1

crypto map vpn 10 set transform-set myset

crypto map vpn interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share

isakmp policy 65535 encryption 3des

isakmp policy 65535 hash sha

isakmp policy 65535 group 2

isakmp policy 65535 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

tunnel-group 30.30.30.1 type ipsec-l2l

tunnel-group 30.30.30.1 ipsec-attributes

 pre-shared-key cisco

class-map inspection_default

match default-inspection-traffic

policy-map asa_global_fw_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy asa_global_fw_policy global

Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28

: end

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
糖代谢增高会发展成糖尿病吗? 地毯怎么选购呢 酒店地毯定制 葡萄籽油可以炒菜吗 葡萄籽食用油炒菜好吃吗 ...道路的理论基础、时代背景、历史依据、现实依据 排骨怎么炖好吃又简单家常做法 家常炖排骨怎样做好吃 vivox9spius怎么设置指纹解锁屏幕呀求大神交 vivox9pius怎么解锁密码 手机,没了你会更好作文 ...给充电宝充电指示灯会亮,可是给手机充电灯不亮也不能充电这是坏了... -1.414是负分数吗 所有的正数组成正数集合,所有的负数组成负数集合,所有的整数组成整数... 发型和着装 电脑加了个2G内存条为什么开不了机了呢 万州那里招暑假工 西安高新技师学院位置在哪 求一本小说 小说开头是女主被迫嫁给了男主, 女主的父亲因为欠了男主... 昨天买的三星I9100。睡前60%的电。待机一晚只剩8%的电。wifi等各种应用... 请问案发后归还20万算侵占还是挪用?谢谢 烟草许可证怎么查询真假 笔记本电脑WiFi那个wireless显示没连接到计算机怎么办 万州哪里有招暑假工的呀??? 我想改个发型,希望各位潮人帮个忙!! 我的被别人注销了,怎么找回来?微信账户上还有钱,怎么办呢?怎么... 一年内能改第二次吗? 假烟草证被查怎么罚? vivo y66l卡一联通卡二移动为什么我同时两张卡都打开然后卡一就没信号... 朋友叫我给他做向导应该怎样回答? 拼接书架怎么拆下来 我想做橱柜专卖店,请问代理哪个橱柜品牌比较好? 诺基亚6108屏幕总是亮着 奔腾X40互联智酷型自动低配好还是手动高配好? Cisco ASA 5505 防火墙怎么设置? 把下列各数分别填入相应集合的括号内: 要收款码会不会被骗 经常被封的话 会有什么后果? 被封了会有什么后果吗? 其怜爱之如此的如此是什么意思? CISCO ASA 5520 的IPSEC 用户认证 ,能不能用WINDOWS 2003 域控... 索尼RX10M3的镜头有什么特点? 性能不俗长焦机 索尼RX10 III评测 谁介绍点80后经典动画片歌曲? 君子磊落是什么生肖 河豚是胎生还是卵生 怎么繁殖的 诺基亚6108 手机被限制急求限制码. 想入手一台大变焦便携相机,索尼RX10M3和佳能G3X哪个好? 徳帮物流从贵阳出发到天津路线 登不上,我又注册了一个新的,以前的微号还能找回来吗? 求这个攻占冬宫的优化的全部高清图片,谢谢了