购买或续订
购买或续订
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
11089
查看次数
0
有帮助
5
回复

Cisco ASA 5525 和 Juniper SSG140 建立l2l vpn 的问题

Millerr
Level 1
Level 1

发布时间 ‎03-06-2017 10:57 PM

本帖最后由 zhangzhihui1 于 2017-3-7 15:57 编辑
1.Cisco ASA 5525 为静态地址 (9.4)
2. Juniper SSG140 为PPPOE 拨号(6.2)
ASA配置:
crypto ikev1 policy 65535
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto ipsec ikev1 transform-set VPNSET esp-des esp-md5-hmac
crypto dynamic-map dmap 10 match address vpn
crypto dynamic-map dmap 10 set ikev1 transform-set VPNSET
crypto dynamic-map dmap 10 set pfs group1
crypto dynamic-map dmap 10 set reverse-route
crypto map vpn 10 ipsec-isakmp dynamic dmap
access-list vpn extended permit ip 10.15.0.0 255.255.0.0 10.14.0.0 255.255.0.0
access-list vpn extended permit ip 10.15.0.0 255.255.0.0 192.168.14.0 255.255.255.0
tunnel-group DefaultL2LGroup ipsec-attributes
ikev1 pre-shared-key *****
object-group network Inside-vpn
network-object 10.15.0.0 255.255.0.0
object-group network NONAT
network-object 10.14.0.0 255.255.0.0
network-object 192.168.14.0 255.255.255.0
nat (inside,outside6) source static Inside-vpn Inside-vpn destination static NONAT NONAT
Juniper 按正常的配置。
问题:
第一阶段时有时没有。
第二阶段没有。
VPN建立不起来。
Debug日志:
ASA:debug crypto ikev1
Mar 06 17:57:14 [IKEv1]Group = DefaultL2LGroup, IP = 58.49.172.82, Session is being torn down. Reason: Peer Address Changed
Mar 06 17:57:31 [IKEv1]Group = DefaultL2LGroup, IP = 58.49.172.82, Session is being torn down. Reason: Peer Address Changed
Mar 06 17:57:37 [IKEv1]Group = DefaultL2LGroup, IP = 58.49.172.82, Session is being torn down. Reason: Peer Address Changed
Juniper日志显示两个阶段建立完成:
标签:
预览文件
10 KB
0 有帮助
5 条回复5

one-time
Level 13
Level 13

发布时间 ‎03-06-2017 11:15 PM

感谢您的提问!稍后会有小伙伴为您解答的!:)
0 有帮助

jingjian
Spotlight
Spotlight

发布时间 ‎03-09-2017 11:02 PM

1.juniper第一阶段使用的lifetime默认为28800,建议在ASA这侧将lifetime由86400更改为28800。
2.junipper虽然使用的是PPPOE拨号,但是如果你申请的业务是固定地址的话,最好在ASA上创建一个以peer IP地址命名的tunnel group.
tunnel-group 58.49.172.82 type ipsec-l2l
tunnel-group 58.49.172.82 ipsec-attributes
ikev1 pre-shared-key *****
0 有帮助

jiarchen
Cisco Employee
Cisco Employee

发布时间 ‎03-10-2017 01:41 AM

麻烦再提供下相关信息:
1.crypto map 是在哪个接口调用
2.请开启debug crypto ipsec 255 和 debug crypto ikev1 255 之前包含的信息太少。
3.请把log 开到 debugging 收集出问题时 的 log。
0 有帮助

jiarchen
Cisco Employee
Cisco Employee

发布时间 ‎03-10-2017 01:47 AM

还有一点,请确认以下juniper 的默认 sa timing: remaining key lifetime (kB/sec): (4374000/28787) 这个是多少
0 有帮助

13nash
Level 8
Level 8

发布时间 ‎03-21-2017 06:43 PM

是配置成野蛮模式的吗?
0 有帮助
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents