欧美一区二区三区老妇人-欧美做爰猛烈大尺度电-99久久夜色精品国产亚洲a-亚洲福利视频一区二区

ASA與路由器在NAT-T環(huán)境下建立ipsec-v-p-n(ikev2)配置及排錯過程

  1. ASA 與路由器在NAT-T環(huán)境下建立ipsec -v-p-n ( ikev2 )配置及排錯過程

    成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),濟水街道企業(yè)網(wǎng)站建設(shè),濟水街道品牌網(wǎng)站建設(shè),網(wǎng)站定制,濟水街道網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,濟水街道網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿,時刻以成就客戶成長自我,堅持不斷學習、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

    實驗?zāi)康?/strong>:為了驗證防火墻在NAT-T的環(huán)境能和對方出口路由器成功建立IPSec -v-p-n

    并實現(xiàn)公司兩地內(nèi)網(wǎng)通信

    實驗環(huán)境介紹:ASA在內(nèi)網(wǎng); R1,R2為出口、做NAT并指默認路由到Internet

    ipsec 版本:ikev2

  2. 報錯

    雖然照著網(wǎng)上找的一個ikev2的路由器對路由器非NAT-T版本配的,但是問題也出現(xiàn)不少

    ——cisco ikev2 profile not found

    ——Exchange type: Informational (5)

    ——Exchange type:  NO PAYLOAD

    ——specify IKE identity to use

    ——rec'd IPSEC packet ha 

    ——IKEv2-PROTO-1: (167): The peer's KE payload contained the wrong DH group

    //如果一邊啟用pfs完美向前保密(ipsec sa階段的時候再次協(xié)商密鑰),一邊未啟用pfs,就會報這個錯,但不影響加密通信

  3. 先貼出正確的關(guān)鍵配置

    ASA:

    route outside 0.0.0.0 0.0.0.0 10.249.188.254

    //定義感興趣流

    access-list l2lacl extended permit ip 10.249.190.0 255.255.255.0 192.168.1.0 255.255.255.0 

    ipsec部分:

    //定義ipsec第一階段 ikev2協(xié)商策略,主要是為了安全的交換密鑰

    crypto ikev2 policy 10

      encryption 3des

      integrity sha512

      group 2

      prf sha512

      lifetime seconds 86400

    //定義ipsec第二階段轉(zhuǎn)換集加密策略

    crypto ipsec ikev2 ipsec-proposal l2ltrans

       protocol esp encryption 3des

       protocol esp integrity sha-1

    //匹配到感興趣流時,調(diào)用加密圖l2lmap

    crypto map l2lmap 1 match address l2lacl

    crypto map l2lmap 1 set pfs 

    crypto map l2lmap 1 set peer 202.134.122.2 

    crypto map l2lmap 1 set ikev2 ipsec-proposal l2ltrans

      //ipsec類型為點到點L2L,   ipsec的雙方認證密鑰(人為干預(yù)的)

      tunnel-group 202.134.122.2 type ipsec-l2l

      tunnel-group 202.134.122.2 ipsec-attributes

        ikev2 remote-authentication pre-shared-key cisco

        ikev2 local-authentication pre-shared-key cisco

     //在接口下調(diào)用

     crypto ikev2 enable outside

     crypto map l2lmap interface outside

R1

ip route 0.0.0.0 0.0.0.0 202.134.121.2

ip nat inside source list natacl interface Ethernet0/1 overload

//若不寫以下端口映射,在內(nèi)網(wǎng) NAT-T環(huán)境下是可以主動與對方出口路由器建立ipsec ***的,反之不行

ip nat inside source static udp 10.249.190.253 500 202.134.121.1 500 extendable

ip nat inside source static udp 10.249.190.253 4500 202.134.121.1 4500 extendable

ip nat outside source static udp 202.134.122.2 500 202.134.122.2 500 extendable

ip nat outside source static udp 202.134.122.2 4500 202.134.122.2 4500 extendable

//從此路由出口的流量全部為訪問異地內(nèi)網(wǎng)所需,所以所有流量都加密

ip access-list extended natacl

 permit ip any any

R2

//定義ipsec第一階段 ikev2協(xié)商策略

crypto ikev2 proposal ikev2-proposal 

 encryption 3des

 integrity sha512

 group 2

//定義ikev2的策略

crypto ikev2 policy ikev2-policy 

 proposal ikev2-proposal

//定義加密認證參數(shù)(對方名、對方公網(wǎng)地址、預(yù)共享密鑰)

crypto ikev2 keyring ikev2-keyring

 peer ASA2

  address 202.134.121.1

  pre-shared-key cisco

//定義ikev2的認證框架(遠端設(shè)備的真實內(nèi)網(wǎng)地址,本地公網(wǎng)地址,預(yù)共享認證方式,認證參數(shù))

這個內(nèi)網(wǎng)地址不正確,就會停留在ikev2協(xié)商的第一階段SA-INIT,然后IKE-AUTH階段就一直報錯,

crypto ikev2 profile IKEV2-profile

 match identity remote address 10.249.190.253 255.255.255.0 

 identity local address 202.134.122.2

 authentication remote pre-share

 authentication local pre-share

 keyring local ikev2-keyring

//定義第二階段轉(zhuǎn)換集參數(shù)

crypto ipsec transform-set l2ltrans esp-3des esp-sha-hmac 

   mode tunnel

//定義加密圖

crypto map l2lmap 10 ipsec-isakmp 

 set peer 202.134.121.1

 set transform-set l2ltrans 

 set ikev2-profile IKEV2-profile

 set pfs

 match address l2lacl

//分離出要加密的流量

ip access-list extended l2lacl

 permit ip 192.168.1.0 0.0.0.255 10.249.188.0 0.0.0.255

 permit ip 192.168.1.0 0.0.0.255 10.249.189.0 0.0.0.255

 permit ip 192.168.1.0 0.0.0.255 10.249.191.0 0.0.0.255

 permit ip 192.168.1.0 0.0.0.255 10.249.190.0 0.0.0.255

ip access-list extended natacl

 deny   ip 192.168.1.0 0.0.0.255 10.249.188.0 0.0.0.255

 deny   ip 192.168.1.0 0.0.0.255 10.249.189.0 0.0.0.255

 deny   ip 192.168.1.0 0.0.0.255 10.249.190.0 0.0.0.255

 deny   ip 192.168.1.0 0.0.0.255 10.249.191.0 0.0.0.255

 permit ip any any

//接口調(diào)用

ip nat inside source list natacl interface Ethernet0/0 overload

ip route 0.0.0.0 0.0.0.0 202.134.122.1

interface Ethernet0/0

 ip address 202.134.122.2 255.255.255.0

 ip nat outside

 ip virtual-reassembly in

 crypto map l2lmap

報錯內(nèi)容圖片及描述,有空再碼,未完待續(xù)。。。。

文章名稱:ASA與路由器在NAT-T環(huán)境下建立ipsec-v-p-n(ikev2)配置及排錯過程
URL分享:http://chinadenli.net/article14/joidde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供標簽優(yōu)化、用戶體驗靜態(tài)網(wǎng)站、、微信小程序、網(wǎng)站維護

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

中文字幕一区二区熟女| 91蜜臀精品一区二区三区| 亚洲熟妇中文字幕五十路| 亚洲男人的天堂色偷偷| 日本人妻的诱惑在线观看| 国产精品久久精品国产| 日本大学生精油按摩在线观看| 欧美丰满大屁股一区二区三区| 亚洲国产av在线视频| 日本午夜福利视频免费观看| 激情国产白嫩美女在线观看| 中文字幕一区久久综合| 国产精品白丝久久av| 亚洲精品有码中文字幕在线观看 | 久久精品欧美一区二区三不卡| 欧美一级特黄大片做受大屁股| 亚洲午夜精品视频在线| 好吊色欧美一区二区三区顽频 | 免费在线成人激情视频| 亚洲精品欧美精品一区三区| 国产中文字幕一区二区| 国产精品成人免费精品自在线观看| 香港国产三级久久精品三级| 国产激情国产精品久久源| 国产成人精品一区二区三区| 日韩欧美综合中文字幕| 高清一区二区三区不卡免费| 国产日韩欧美专区一区| 熟女免费视频一区二区| 国产精品久久三级精品| 欧美精品中文字幕亚洲| 欧美日韩乱一区二区三区| 欧美夫妻性生活一区二区| 久久精品免费视看国产成人| 四十女人口红哪个色好看| 午夜福利视频日本一区| 99日韩在线视频精品免费| 国产精品亚洲一区二区| 一级欧美一级欧美在线播| 国产精品超碰在线观看| 色婷婷人妻av毛片一区二区三区|