请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 129|回复: 1

ASA 5506 IKEV2配置问题

[复制链接]
发表于 5 天前 | 显示全部楼层 |阅读模式
3可用金钱
我ASA和飞塔防火墙 ikev2 L2L配置,但是第一阶段配置status显示delete

crypto isakmp disconnect-notify
crypto ikev2 policy 10
encryption 3des
integrity sha md5
group 5      
prf sha md5
lifetime seconds 86400

crypto ipsec ikev2 ipsec-proposal trans
protocol esp encryption 3des
protocol esp integrity md5
tunnel-group 112.95.173.85 type ipsec-l2l
tunnel-group 112.95.173.85 ipsec-attributes
isakmp keepalive threshold 10 retry 3
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****

crypto map vpn 10 match address vpn
crypto map vpn 10 set peer 112.95.173.85
crypto map vpn 10 set ikev2 ipsec-proposal trans
crypto map vpn interface outside

access-list vpn extended permit ip 10.1.2.0 255.255.255.0 10.40.0.0 255.255.255.0

crypto ikev2 enable outside

object network remote_vpn
subnet 10.40.0.0 255.255.255.0
nat (inside,outside) source static inside inside destination static remote_vpn remote_vpn no-proxy-arp route-lookup


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 4 天前 | 显示全部楼层
本帖最后由 YilinChen 于 2019-12-2 10:51 编辑

1、能够适配,不用担心兼容性问题;
2、5506要么用传统IPSECVPN配置方法(匹配感兴趣流)
3、要么看5506是否支持SVTI(基于Tunnel,Forti的叫法是基于路由的IPSCVPN),2者也能协商起来;
4、注意2端设备上PFS的配置;
5、多看FORTI设备上的DEBUG信息
6、看楼主配置,是用了IKEV2,建议如果用传统配置,先用IKEV1协商进行测试;
7、补充关键性的一点,Forti设备不是只单独配IPSEVPN就会建立TUNNEL的,必须是完整配置,包含路由和相关安全策略的放行,不然IPSEVPN在Forti侧是不会正常协商的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-12-6 11:27 , Processed in 0.086488 second(s), 30 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表