使用CCP配置示例在静态寻址的ASA和一个动态.PDFVIP

使用CCP配置示例在静态寻址的ASA和一个动态 地寻址的Cisco IOS路由器之间的动态IPSec隧道 目录 简介 先决条件 要求 使用的组件 规则 背景信息 配置 网络图 配置 验证 通过CCP验证通道参数 通过ASA CLI验证隧道状态 通过路由器CLI验证通道参数 故障排除 相关信息 简介 本文为如何使PIX/ASA安全工具提供一配置示例接受从Cisco IOS路由器的动态IPSec连接。在此方 案中，当通道从路由器末端仅被发起时， IPSec隧道设立。ASA不能发起VPN通道由于动态 IPSec配置。 通过此配置，PIX 安全设备可以创建到远程 VPN 路由器的动态 IPsec LAN 到 LAN (L2L) 隧道。此 动态路由器接收其从其网络服务提供商的外部公网IP地址。动态主机配置协议 (DHCP) 可提供此机 制，以便动态地分配提供商提供的 IP 地址。这样，当主机不再需要这些 IP 地址时，就可以重用它 们。 在路由器的配置执行与使用Cisco Configuration Professional (CCP)。CCP是允许您配置基于Cisco IOS的路由器的一个基于GUI的设备管理管理工具。参考的基本路由器配置使用关于如何的Cisco Configuration Professional配置有CCP的一个路由器的更多信息。 参考的Site to Site VPN (L2L)与使用ASA和Cisco IOS路由器的更多inormation和配置示例的ASA在 IPSec隧道建立。 参考的Site to Site VPN (L2L)与IOS欲知更多信息和配置示例关于动态IPSec隧道建立与使用PIX和 Cisco IOS路由器。 先决条件 要求 在您尝试此配置前，请保证ASA和路由器有Internet连接为了设立IPSec隧道。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco IOS运行Cisco IOS软件版本12.4的Router1812 Cisco ASA 5510软件版本8.0.3 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 在此方案中， 网络是在ASA和网络后是在Cisco IOS路由器后。假设 ，路由器通过DHCP得到其公共地址从其ISP。因为这在一个静态对等体的配置里提出一问题ASA末 端的，您需要接近动态加密配置方式设立在ASA和Cisco IOS路由器之间的一个站点到站点通道。 ASA末端的互联网用户被转换对其外部接口的IP地址。假设， NAT在Cisco IOS路由器末端没有配 置。 现在这些是在ASA末端将配置的主要步骤为了设立动态隧道： 1. 阶段1 ISAKMP相关的配置 2. nat免税配置 3. 动态加密映射配置 因为ASA假设有一静态公网IP地址， Cisco IOS路由器有配置的一个静态加密映射。现在这是在 Cisco IOS路由器末端将配置的主要步骤列表设立动态IPSec隧道。 1. 阶段1 ISAKMP相关的配置 2. 静态加密映射相关的配置 这些步骤在这些配置方面详细描述。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： 配置 这是在VPN路由器的IPSec VPN配置与CCP。完成这些步骤： 1. 打开CCP应用程序并且选择配置 Security VPN Site to Site VPN。点击启动选定选项卡。 2. 选择逐步向导其次然后单击。 3. 与验证详细信息一起填写远端对等体IP地址。 4. 选择IKE建议并且其次单击。 5. 定义转换集详细信息并且其次单击。 6. 定义需要加密的流量并且其次单击。 7. 验证crypto IPSec配置的摘要并且点击芬通社。 8. 单击传送为了发送配置到VPN路由器。 9. 单击 Ok。 CLI 配置 Ciscoasa VPN路由器 Ciscoasa ciscoasa(config)#show run : Saved : ASA Version 8.0(3) ! hostname ciscoasa enable password 8Ry2YjIy