Ipsec
远程访问
×××
思科客户端。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
说明:
client
没有固定
ip
,
server
分配一个内部
ip
给
client
。
两种
IKE
配置模式协商。
1
:网关主动发起
2
:客户端主动发起
三个步骤配置
IKE
模式。
1
:定义一个
ip
地址池。
Ip local pool test 192.168.1.100-192.168.1.200
2:在IKE配置中关联ip地址池
isakmp client configuration address-pool local test outside
3:
在加密图设置中,定义加密图和客户端协商
IKE
模式配置,是否客户端和网关发起这个过程。
Crypto map mymap client configuration addreess initiate
扩展认证
认证在阶段
1
后阶段
2
前发生,没有
xauth
,
IKE
仅能够认证一个设备
tunnel group:
为一组用户提供相同的策略。
ASA7.2
提供了四个缺省的
tunnel group
一个
LAN-TO-LAN
通道组(
DefaultL<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2L
),一个远程访问通道组
(DefaultRAgroup)
,一个
WEB×××
通道组
(DefaultWEB×××Group)
,一个缺省的组策略。
远程访问
Ipsec××× pix
配置
hostname(config)#
interface ethernet0
hostname(config-if)#
ip address 10.10.4.200 255.255.0.0
hostname(config-if)#
nameif outside
hostname(config)#
no shutdown
hostname(config)#
isakmp policy 1 authentication pre-share
hostname(config)#
isakmp policy 1 encryption 3des
hostname(config)#
isakmp policy 1 hash sha
hostname(config)#
isakmp policy 1 group 2
hostname(config)#
isakmp policy 1 lifetime 43200
hostname(config)#
isakmp enable outside
hostname(config)#
ip local pool testpool 192.168.0.10-192.168.0.15
hostname(config)#
username testuser password 12345678
hostname(config)#
crypto ipsec transform set FirstSet esp-3des esp-md5-hmac
hostname(config)#
tunnel-group testgroup type ipsec-ra
hostname(config)#
tunnel-group testgroup general-attributes
hostname(config-general)#
address-pool testpool
hostname(config)#
tunnel-group testgroup ipsec-attributes
hostname(config
-
ipsec)#
pre-shared-key 44kkaol59636jnfx
hostname(config)#
crypto dynamic-map dyn1 1 set transform-set FirstSet
hostname(config)#
crypto dynamic-map dyn1 1 set reverse-route
hostname(config)#
crypto map mymap 1 ipsec-isakmp dynamic dyn1
hostname(config)#
crypto map mymap interface outside
hostname(config)#
write memory
转载于:https://blog.51cto.com/bluefox/118519
121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
