问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

思科防火墙ASA5520 ipsec 配置实例

发布网友 发布时间:2022-06-01 19:11

我来回答

1个回答

热心网友 时间:2023-10-12 23:08

ASA Local:

ASA Version 7.X

no names

!

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 30.30.30.1 255.255.255.0

!--- This line allows the unicast of OSPF over the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.

!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco

!

interface GigabitEthernet0/1

 nameif inside

 security-level 100

 ip address 10.10.10.1 255.255.255.0

!

interface GigabitEthernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface GigabitEthernet0/3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

!

enable password cisco encrypted

passwd cisco encrypted

hostname Local

ftp mode passive

!--- These access control list (ACL) entries define 

!--- interesting traffic for IPsec encryption and allow

!--- the traffic to bypass NAT. Note that OSPF is permitted and only 

!--- in the crypto ACL. 

same-security-traffic permit intra-interface

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0

access-list outside_cryptomap_10 extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0

access-list outside_cryptomap_10 extended permit ospf interface outside host 40.40.40.2

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp permit any echo outside

icmp permit any echo-reply outside

icmp permit any echo inside

icmp permit any echo-reply inside

asdm image disk0:/asdm-502.bin

no asdm history enable

arp timeout 14400

global (outside) 10 interface

!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat

nat (inside) 10 10.10.10.0 255.255.255.0

!

!--- This is OSPF. 

!--- Note: You must define the outside network of the remote peer.

router ospf 100

 network 10.10.10.0 255.255.255.0 area 0

 network 30.30.30.0 255.255.255.0 area 0

 network 40.40.40.0 255.255.255.0 area 0

!--- This is where OSPF is told where the 

!--- PEER is located.

 neighbor 40.40.40.2 interface outside

 log-adj-changes

!

!--- This is a host based static. This is not always 

!--- necessary, but recommended to prevent recursive routing loops when 

!--- OSPF comes up over the IPsec tunnel. 

route outside 40.40.40.2 255.255.255.255 30.30.30.2 1

route outside 0.0.0.0 0.0.0.0 30.30.30.2 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00

h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.4.50 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp         

!--- This is the IPsec and IKE/ISAKMP configuration. 

!--- Make sure basic IPsec connectivity is present

!--- before you add in OSPF. 

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map outside_map 10 match address outside_cryptomap_10

crypto map outside_map 10 set peer 40.40.40.2

crypto map outside_map 10 set transform-set myset

crypto map outside_map 10 set security-association lifetime seconds 86400

crypto map outside_map interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share

isakmp policy 65535 encryption 3des

isakmp policy 65535 hash sha

isakmp policy 65535 group 2

isakmp policy 65535 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

tunnel-group 40.40.40.2 type ipsec-l2l

tunnel-group 40.40.40.2 ipsec-attributes

 pre-shared-key cisco

class-map inspection_default

match default-inspection-traffic

policy-map asa_global_fw_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy asa_global_fw_policy global

Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28

: end

ASA Remote:

ASA Version 7.X

no names

!

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 40.40.40.2 255.255.255.0

!--- This line allows the unicast of OSPF over to

!--- the IPsec tunnel.

 ospf network point-to-point non-broadcast

!--- This line is optional and not required for OSPF to work.

!--- Enable this option only if you want to enable MD5 digest for OSPF.

 ospf message-digest-key 10 md5 cisco

!

interface GigabitEthernet0/1

 nameif inside

 security-level 100

 ip address 20.20.20.1 255.255.255.0

!

interface GigabitEthernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface GigabitEthernet0/3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

!

enable password cisco encrypted

passwd cisco encrypted

hostname Remote

ftp mode passive

!--- These ACL entries define interesting traffic for IPsec encryption and allow

!--- the traffic to bypass NAT. Note that OSPF is permitted and only in the crypto ACL.

same-security-traffic permit intra-interface

access-list nonat extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

access-list crypto extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0

access-list crypto extended permit ospf interface outside host 30.30.30.1

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp permit any echo outside

icmp permit any echo-reply outside

icmp permit any echo inside

icmp permit any echo-reply inside

asdm image disk0:/asdm-502.bin

no asdm history enable

arp timeout 14400

global (outside) 20 interface

!--- Do not translate traffic with NAT.

nat (inside) 0 access-list nonat

nat (inside) 20 20.20.20.0 255.255.255.0

!

!--- This is OSPF. 

!--- Note: You must define the remote peer's outside network.

router ospf 100

 network 20.20.20.0 255.255.255.0 area 0

 network 30.30.30.0 255.255.255.0 area 0

 network 40.40.40.0 255.255.255.0 area 0

!--- This is where the OSPF is told where the PEER is located.

 neighbor 30.30.30.1 interface outside

 log-adj-changes

!

!--- This is a host based static. This is not always necessary, but recommended to

prevent recursive routing loops when OSPF comes up over the IPsec tunnel.

route outside 0.0.0.0 0.0.0.0 40.40.40.1 1

route outside 30.30.30.1 255.255.255.255 40.40.40.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00

h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.4.50 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp         

!--- This is the IPsec configuration. Make sure basic IPsec connectivity is present

before you add in OSPF. 

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map * 10 match address crypto

crypto map * 10 set peer 30.30.30.1

crypto map * 10 set transform-set myset

crypto map * interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share

isakmp policy 65535 encryption 3des

isakmp policy 65535 hash sha

isakmp policy 65535 group 2

isakmp policy 65535 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

tunnel-group 30.30.30.1 type ipsec-l2l

tunnel-group 30.30.30.1 ipsec-attributes

 pre-shared-key cisco

class-map inspection_default

match default-inspection-traffic

policy-map asa_global_fw_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy asa_global_fw_policy global

Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28

: end

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
枸杞子如何吃养肾呢? 淘宝商家如何报名多件多折玩法?玩法说明 淘宝怎么设置满减优惠券活动?有什么技巧? 淘宝满减活动是商家支付吗?淘宝如何设置满减活动? 淘宝满减算的是原价还是打折价?如何设置满减活动? 家和万事兴里的宋香怀的是谁的孩子 你好:HP380g6加3T硬盘, p410i阵列卡识别硬盘仅为 0GB,确认加入阵列出错... ...G6服务器开机时出现黑底白字的Boot failed 提示界面,寻求高手指教... ...提示slot 0 HP Smart Arry P4101 controller ...ML150G6 的服务器,开机时报slot 4 hp smart array p410 controller是... 观音土和膨润土有什么区别? cisco asa怎么恢复出厂设置 谁有G.E.M.邓紫棋-喜欢你 mp3网盘下载地址 什么叫纳基膨润土 烽火AN5506-7交换机怎么操作! 我是一家查账征收的小微企业,适用延缓缴纳企业所得税*。在填报A类预缴申报表时,如何享受这个*? 血色残阳的介绍 耐克绒面革材质怎么样,会产生断痕么 我妈说我问问题很白痴,应该多看什么方面的书? “牛剖层绒面革”是什么? 寻找王朋 膨润土的原矿叫什么? 想找一项目投资合作.本人在苏州丝绸之都!全是纺织厂、印染厂、一切和衣服面料.里料有关的这边都有。 膨润土与高岭土有区别吗 SPERRY公开的可水洗绒面革到底如何? 如何寻找一名经验熟练的印染工程师??? 印染厂怎么管理? 什么是牛正绒面革 印染厂怎么跑业务 《大话西游》你真的看懂了吗? 求邓紫棋的喜欢你你空间有效MP3链接,谢谢 邓紫棋喜欢你.flac百度云谢谢 思科防火墙ASA5520 ipsec 配置实例 谁有邓紫棋的(喜欢你)音频,就是在 我是歌手 里面唱的beyond的,太好听了,谢谢。 如何理解比尔盖茨说过成为富有的人是一种责任,并且捐赠财产是一件令人满意的事情? 谁有Mp3-DJ粤语-邓紫棋 喜欢你 女生版DJ粤语DJ MP3百度网盘下载地址 你好,你有G.E.M. 邓紫棋 - 喜欢你的录音室无损版本没有,有的话分享下好吗?谢谢。 邓紫棋喜欢你在酷狗音乐怎么下载 房地产税对房价的影响如何? 赘婿里一定要从苏文兴和乌启豪中选一个当你儿子,选谁? 通常路由器不能进行转发的网络地址是多少答案是172.16.32.1,谁能给个详细的解释 急!!请大家帮忙 计算一下172.16.32.0/24所属的网络地址 《赘婿》中的苏文兴被指像吉吉国王,你觉得像吗? 一个B类地址,它的子网掩码为255.255.224.0,能划分多少个子网? 每个子网容纳多少台主机? 赘婿苏檀儿和苏文兴为啥有共同的舅舅? 请将ip地址为172.16.0.0的网段划分为6个子网,写出新的子网掩码和每个子网的网络地址、广播地址和可用地址 赘婿全员奥斯卡,里面“吉吉国王”苏文兴的表演到底有多搞笑? 将网络172.16.200.0划分为4个可容纳500台主机的子网,该如何设置子网掩码? 江西钰惠畜牧业发展有限公司怎么样? 赘婿苏檀儿布料全部被淹是哪集