关于asa防火墙动态L2L ×××与remote ×××同时配置的解决办法

最新推荐文章于 2024-07-23 11:58:56 发布

weixin_33910759

最新推荐文章于 2024-07-23 11:58:56 发布

阅读量182

点赞数

原文链接：http://blog.51cto.com/liuxfy/579014

版权

我遇到的网络环境如下：

公司总部asa5540 （固定IP）分部A cisco2811（动态ADSL）分部B cisco2811（动态ADSL）远端用户C cisco *** client拨号软件（动态ADSL），需求是通过对asa5540及分部A、B的cisco2811进行配置，使得分部和远端用户均能访问总部网络的资源。

遇到的问题如下：

1.分别配置分部A和分部B的2811的动态×××，与总部形成L2L ×××，生成了2个动态加密图，同时有2个静态加密图，如下所示：

crypto ipsec transform-set xp esp-des esp-sha-hmac //分部A的转换集
crypto ipsec transform-set zzfgs esp-des esp-sha-hmac //分部B的转换集
crypto dynamic-map dymapzdwl 20 set transform-set xp
crypto dynamic-map dymapzdwl 20 set security-association lifetime seconds 86400
crypto dynamic-map dymapzdwl 20 set reverse-route
crypto dynamic-map dymapzdwlzz 40 set transform-set zzfgs
crypto dynamic-map dymapzdwlzz 40 set security-association lifetime seconds 86400
crypto dynamic-map dymapzdwlzz 40 set reverse-route

crypto map mapzdwl 10 ipsec-isakmp dynamic dymapzdwl //分部A的加密图

crypto map mapzdwl 20 ipsec-isakmp dynamic dymapzdwlzz //分部A的加密图

调试成功；

2.在上述基础上，配置remote ***，主要配置如下：

crypto ipsec transform-set ez***set esp-des esp-md5-hmac //remote ***的转换集

crypto dynamic-map dymapez*** 10 set transform-set ez***set
crypto dynamic-map dymapez*** 10 set security-association lifetime seconds 288000
crypto dynamic-map dymapez*** 10 set reverse-route

crypto map mapzdwl 5 ipsec-isakmp dynamic dymapez***

3.上述放在一起，出现的问题是加密图序号小的优先级高，可激活***连接，而后者就无法连通，总之只能激活L2L ×××或者remote ×××的一种，二者不能同时存在。

在网上寻找答案，也问了不少cisco专业人士，大都说没有做过类似的实验不能解决问题。这个问题纠结了我好久，今天照常在网上寻找答案，注册了N多个较专业的思科论坛账号，发帖，自己顶，终于有了成效。

就在51cto论坛上有人在我帖子里回复说，其实只需要一个加密图就可以了。我当时很好奇，就抱着试一试的态度，将分部A和B的2811进行了重新配置，将policy中的hash设为md5 同时将转换集的解析算法也设置为了esp-md5-hmac。如此一来，所有3个ISA协商的加密、解析配置完全一样。只需配置一个动态加密图、一个静态加密图，一个协商策略。如下所示：

crypto ipsec transform-set ez***set esp-des esp-md5-hmac
crypto dynamic-map dymapez*** 60 set transform-set ez***set
crypto dynamic-map dymapez*** 60 set security-association lifetime seconds 86400
crypto dynamic-map dymapez*** 60 set reverse-route
crypto map mapzdwl 1 ipsec-isakmp dynamic dymapez***
crypto map mapzdwl interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

奇迹出现了，分部A、分部B，以及远端的拨号软件都与总部连通了。到此，公司的网络需求得以满足，同时给自己对×××的配置有了更深的了解。不是原来机械的命令堆积，而是理解和掌握×××实现各个网络之间连通的原理。

转载于:https://blog.51cto.com/liuxfy/579014

weixin_33910759

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
关于asa防火墙动态L2L ×××与remote ×××同时配置的解决办法

我遇到的网络环境如下：公司总部asa5540（固定IP）分部A cisco2811（动态ADSL）分部B cisco2811（动态ADSL）远端用户C cisco *** client拨号软件（动态ADSL），需求是通过对asa5540及分部A、B的cisco2811进行配置，使得分部和远端用户均能访问总部网络的资源。遇到的问题如下：1.分别配置分部A...
复制链接

扫一扫