取消
显示结果 
搜索替代 
您的意思是: 
cancel
3708
查看次数
24
有帮助
2
评论
wenwen ji
Level 1
Level 1
最近客户有一个需求就是通过ASA与对方建立site-to-stie VPN,本来应该是很简单的事情,不过一看客户网络架构还是有点难度的了。花了几个小时终于搞定了。分享一下吧。期间也是各种googel。拓扑如下图。201654r38qkq4s7djjo4tm.png
ASA5510 与remote site 建立 site to site VPN
1:ASA5510 outside 配置是的私有地址,然后在负载设备做静态NAT,映射了一个公网地址58.x.x.8。
按照料传统VPN方式建立后,对方日志提示如下:
Sep 18 09:43:47 charon 09[IKE] remote host is behind NAT
Sep 18 09:43:47 charon 09[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Sep 18 09:43:48 charon 09[NET] sending packet: from 112.x.x.1[4500] to 58.x.x.8[4500] (100 bytes)
Sep 18 09:43:48 charon 09[NET] received packet: from 58.x.x.8[4500] to 112.x.x.1[4500] (84 bytes)
Sep 18 09:43:48 charon 09[ENC] parsed ID_PROT response 0 [ ID HASH V ]
Sep 18 09:43:48 charon 09[IKE] received DPD vendor ID
Sep 18 09:43:48 charon 09[IKE] IDir '192.168.1.1' does not match to '58.x.x.8'
这时对方在建立VPN的时候需要注意,需要指定peer identifier 192.168.1.1.参考如下。
202645mv0ifiixk6fx63na.png
参考上图后对方添加了peer identifier.
202854wfyf3f4ze1hvhe3p.png
2:这个问题解决后,又出现了对方可以ping我方PC,我方PCping不通以方。那这个优先考虑是感兴趣流不做NAT,没有做对所引起的问题。
后发现,NO-NAT是做的,但是查资料发现NAT有先后顺序。调整后发现双方可以ping通。
调整方式通过ASDM。
203719uzofkno62tqtcoyp.png
3:通过ASA inside 地址测试。如果想方便通过ASA inside ip 地址测试话,需要配置一条命令,就可以使用asa inside ip 地址去测试
如下命令:
management-access inside
评论
one-time
Level 13
Level 13
感谢楼主分享,原创内容请在标题添加【原创】标签哦~
loveghegr
Spotlight
Spotlight
学习了谢谢分享
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接