我一直在努力将配置从 PIX 转换为 ASA 8.2,但在站点到站点 VPN 部分遇到了一些问题。PIX 既有客户端 VPN,也有站点到站点。由于站点到站点的一些配置跨越了客户端 VPN,我感到很困惑。任何帮助都将不胜感激。
下面仅摘录了 PIX 中的相关 VPN 命令。
access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any
access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0
ip local pool DHCP_Pool 192.168.0.161-192.168.0.174
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-vpn
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode
isakmp nat-traversal 180
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup GHA_Remote address-pool DHCP_Pool
vpngroup GHA_Remote dns-server 192.168.0.11
vpngroup GHA_Remote wins-server 192.168.0.11
vpngroup GHA_Remote default-domain x.org
vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl
vpngroup GHA_Remote idle-time 1800
vpngroup GHA_Remote password KEY
我想我真正想问的是,是否有人可以将此 VPN 配置的站点到站点版本转换为 ASA 8.2,以便我可以将其与我已有的版本进行比较。我需要这个,这样我就可以将其放到位并工作。
而且似乎没有使用 isakmp 策略 40,对吗?
以下命令是唯一无法直接输入的命令:
crypto map outside_map 20 ipsec-isakmp
我收到一个错误:%不完整的命令然后我发现我需要添加动态“动态地图名称”我不确定我需要将其绑定到哪个动态地图。
答案1
为什么要手动完成这一切?思科提供了 Pix 到 ASA 的迁移工具。通过该工具运行您的配置,然后在投入生产之前验证结果(并停止使用 des 加密。使用 3des 或 aes)。
编辑:
抱歉。我已经有一段时间没用过那个迁移工具了。我以为它能处理 VPN 的事情。您的配置应该是这样的。如果您只是进行站点到站点的连接,里面有很多您不需要的额外内容,所以我把它删掉了。我还为您启用了 3des 加密:
访问列表 inside_outbound_nat0_acl 允许 ip 任何 192.168.0.160 255.255.255.240
访问列表 inside_outbound_nat0_acl 允许 ip 主机 Zenoss_OS NOC 255.255.255.0
访问列表 inside_outbound_nat0_acl 允许 ip 主机 SilverBack NOC 255.255.255.0 访问
列表 inside_outbound_nat0_acl 允许 ip 主机 enoss_Hardware NOC 255.255.255.0
访问列表 outside_cryptomap_20 允许 ip 主机 Zenoss_OS NOC 255.255.255.0 访问列表 outside_cryptomap_20
允许 ip 主机 SilverBack NOC 255.255.255.0 访问
列表 outside_cryptomap_20 允许 ip 主机Zenoss_硬件 NOC 255.255.255.0nat (内部) 0 访问列表 inside_outbound_nat0_acl
加密 ipsec 变换集 ESP-3DES-SHA esp-3des esp-sha-hmac
加密 ipsec 安全关联生存期 秒 28800
加密 ipsec 安全关联生存期 千字节 4608000
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
加密映射 outside_map 20 设置对等体 205.x.29.41
加密映射 outside_map 20 设置变换集 ESP-3DES-SHA
加密映射 outside_map 接口 outside
加密 isakmp 启用 outside
加密 isakmp 策略 20
身份验证预共享
加密 3des
哈希 sha
组 2
生存期 43200
隧道组 205.x.29.41 类型 ipsec-l2l
隧道组 205.x.29.41 ipsec 属性
预共享密钥 KEY