Я работал над преобразованием конфигурации с PIX на ASA 8.2, но у меня возникли некоторые проблемы с частью vpn сайта на сайт. В PIX есть как клиентская VPN, так и межсайтовый. Так как некоторые конфигурации между сайтами пересекаются с клиентской VPN, я запутался. Любая помощь будет приложена.
Belows - это отрывки только связанных команд VPN из PIX.
access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any
access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0
ip local pool DHCP_Pool 192.168.0.161-192.168.0.174
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-vpn
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode
isakmp nat-traversal 180
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup GHA_Remote address-pool DHCP_Pool
vpngroup GHA_Remote dns-server 192.168.0.11
vpngroup GHA_Remote wins-server 192.168.0.11
vpngroup GHA_Remote default-domain x.org
vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl
vpngroup GHA_Remote idle-time 1800
vpngroup GHA_Remote password KEY
Я предполагаю, что я действительно спрашиваю, может ли кто-нибудь преобразовать версию этой конфигурации VPN для связи между узлами в ASA 8.2, чтобы я мог сравнить ее с тем, что у меня есть. Мне нужно иметь это, чтобы я мог просто поставить его на место и работать.
Также не похоже, что используется политика isakmp 40, верно?
Следующая команда - единственная команда, которую я не могу ввести напрямую:
crypto map outside_map 20 ipsec-isakmp
Я получаю сообщение ERROR:% Incomplete. Затем я вижу, что мне нужно добавить динамическое «имя динамической карты». Я не уверен, к какой динамической карте мне нужно это привязать.
Почему вы все это делаете вручную? Cisco предлагает инструмент миграции с Pix на ASA. Запустите свою конфигурацию через это, а затем просто проверьте результаты, прежде чем запускать ее в производство (и прекратите использовать шифрование des. Используйте 3des или aes).
РЕДАКТИРОВАТЬ:
Сожалею. Я давно не использовал этот инструмент миграции. Я думал, что дело в VPN. Вот как должна выглядеть ваша конфигурация. Там было много лишних вещей, которые вам не нужны, если вы просто делаете сайт за сайтом, поэтому я убрал его. Я также поставил вам шифрование 3des:
список доступа inside_outbound_nat0_acl разрешить ip любой 192.168.0.160 255.255.255.240
список доступа inside_outbound_nat0_acl разрешение IP-хоста Zenoss_OS NOC 255.255.255.0
список доступа inside_outbound_nat0_acl разрешение IP-хоста SilverBack NOC 255.255.255.0
список доступа inside_outbound_nat0_acl allow ip host enoss_Hardware NOC 255.255.255.0
список доступа external_cryptomap_20 разрешение IP-хоста Zenoss_OS NOC 255.255.255.0
список доступа external_cryptomap_20 разрешение IP-хоста SilverBack NOC 255.255.255.0
список доступа external_cryptomap_20 разрешение IP-хоста Zenoss_Hardware NOC 255.255.255.0nat (внутри) 0 список доступа inside_outbound_nat0_acl
крипто-ipsec набор преобразований ESP-3DES-SHA esp-3des esp-sha-hmac
крипто-ipsec время жизни ассоциации безопасности 28800 секунд
крипто-ipsec время жизни ассоциации безопасности, килобайты 4608000
криптокарта outside_map 20 сопоставить адрес outside_cryptomap_20
криптокарта outside_map 20 установить одноранговый узел 205.x.29.41
криптокарта outside_map 20 установить набор преобразований ESP-3DES-SHA
криптокарта external_map интерфейс снаружи
крипто isakmp включить снаружи
политика крипто isakmp 20
предварительная проверка подлинности
шифрование 3des
хеш-ша
группа 2
срок службы 43200
туннельная группа 205.x.29.41 типа ipsec-l2l
туннельная группа 205.x.29.41 ipsec-атрибуты
предварительный общий ключ KEY