|
|
话说今天是个纠结的一天..昨晚认真学习了而下webVPN的配置命令...但是天公不作美..今天下午的BOOTCAMP阶段测试本以为VPN会用web VPN做,
结果黑哥华丽的一句话打碎了我的梦想. IPsec VPN....命令完全不了解...传说用黑哥给的脚本直接复制就可以..结果复制完了以后黑哥又HLL的
说里面的地址池还有ACL的什么的要自己改,,,ASA断电..重启..再配...(原因是我都不知道哪里错了,不知道删哪条命令,更不知道那条命令应该在
什么模式下删除),结果...结果很纠结...DMZ区域我写成了GMZ区域.少写一条路由...不知道哪根筋不对还写了一条access-list 1 permit tcp any any
....纠结的我只得了80分.心中那个不爽..决心回到宿舍以后ASA的配置连敲20次....,(结果只敲了10次 ), 现在将IPsec VPN的配置详解发上.希望
对童鞋们有些帮助,由于本人这个配置详解主要是根据自己的理解所写,所以希望各位大大看到有什么不对的告诉我...不要让丢人的东东长期留在论坛上
username spoto password spoto //创建本地验证数据
crypto isakmp policy 10 //创建序号为10的密钥管理策略
authentication pre-share //设置认证方式为域共享
encryption des //设置加密算法为对称加密算法
hash md5 //设置hash算法为md5
exit
crypto ipsec transform-set cisco esp-des esp-md5-hmac //设置IPsec算法为des 加密为MD5
crypto dynamic-map spoto 10 set transform-set cisco //设置序号为10的动态密码图并引用cisco的算法和加密方式
crypto map bootcamp 10 ipsec-isakmp dynamic spoto //设置序号为10的加密策略.并引用spoto的动态密码图
crypto map bootcamp interface outside //将加密策略bootcamp应用在外网端口
crypto isakmp identity address //设置密钥管理的标识为地址
crypto isakmp enable outside //设置密钥管理的指定端口为外网端口
ip local pool ccna 172.16.10.150-172.16.10.200 mask 255.255.255.0 //设置本地地址池并命名为ccna
tunnel-group ccnp type ipsec-ra //设置隧道组的类型为RA
tunnel-group ccnp ipsec-attributes //进入隧道IPsec属性配置模式
pre-shared-key spoto //远程连接的域共享密钥引用spoto
exit
tunnel-group ccnp general-attributes //进入隧道一般属性配置模式
address-pool ccna //地址池采用ccna这个地址池
authentication-server-group LOCAL //认证方式采用本地认证
exit
access-list 100 permit ip 10.1.1.0 255.255.255.0 172.16.10.0 255.255.255.0 //设定ACL用于拨号用户与内网用户通信
nat (inside) 0 access-list 100 //ACL号为100的数据流不参与NAT转换
group-policy ccnp internal //设置一个内部的组策略
group-policy ccnp attributes //进入组策略的子配置模式
split-tunnel-policy tunnelspecified //选择隧道分离的方法为指定的唯一网络
split-tunnel-network-list value 100 //隧道分离的网络为acl100指定的网络
exit
tunnel-group spoto general-attributes //隧道组的一般属性配置模式
default-group-policy spoto //默认使用spoto策略
exit
end
PS:由于今天本人的彩票并未中奖,原定于明天的华亭宾馆会餐暂时取消,知道我中了500W为止 |
|
[复制链接]
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2010-7-28 01:25:37
提升卡
置顶卡
变色卡
显身卡
楼主