2. Fórumok
  3. Hálózat, szolgáltatók
  4. Cisco vizsgák (CCNA, CCNP, CCIE)
  • Téma összefoglaló
    Utoljára frissítve: 2020-02-27 09:43

    LOGOUT

    --- Még az új vizsgarendszer előtti információk, majd frissítjük! ---


    Gyakran ismételt kérdések
    Olvasd el a cikkeket itt.

Új hozzászólás Aktív témák

  • #9107 zsolti.22 senior tag
    Új Válasz #9107
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    zsolti.22

    senior tag

    Akkor kérdezek én is. ASA és router között akarok s2s VPN-t, de csak az ikev1 épül ki, a v2 már nem akar.

    Host1=====[ASA]-------[R1]======Host2

    [172.16.0.2/24]========<<[172.16.0.1/24],[50.0.0.1/30]>>-------<<[50.0.0.2/30],[192.168.1.1/24]>>----[192.168.1.2/24]

    ASA:

    interface GigabitEthernet0
    nameif inside
    security-level 100
    ip address 172.16.0.1 255.255.255.0
    !
    interface GigabitEthernet1
    nameif outside
    security-level 0
    ip address 50.0.0.1 255.255.255.252

    access-list CRYPTO_ACL extended permit ip 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.0
    access-list NONAT extended permit ip 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.0

    route outside 192.168.1.0 255.255.255.0 50.0.0.2 1

    crypto ipsec ikev1 transform-set TR esp-aes esp-sha-hmac
    crypto ipsec security-association lifetime seconds 1800
    crypto map CM 1 match address CRYPTO_ACL
    crypto map CM 1 set peer 50.0.0.2
    crypto map CM 1 set ikev1 transform-set TR
    crypto map CM interface outside
    crypto ikev1 enable outside
    crypto ikev1 policy 2
    authentication pre-share
    encryption aes
    hash sha
    group 5
    lifetime 1800

    tunnel-group 50.0.0.2 type ipsec-l2l
    tunnel-group 50.0.0.2 ipsec-attributes
    ikev1 pre-shared-key cisco

    class-map inspection-default
    match default-inspection-traffic
    !
    !
    policy-map global-policy
    class inspection-default
    inspect icmp

    service-policy global-policy global

    R1:

    crypto isakmp policy 2
    encr aes
    authentication pre-share
    group 5
    lifetime 1800
    crypto isakmp key cisco address 50.0.0.1
    !
    crypto ipsec security-association lifetime seconds 1800
    !
    crypto ipsec transform-set TR esp-aes esp-sha-hmac
    !
    crypto map CM 1 ipsec-isakmp
    set peer 50.0.0.1
    set transform-set TR
    match address CRYPTO_ACL

    interface FastEthernet0/0
    ip address 50.0.0.2 255.255.255.252
    duplex auto
    speed auto
    crypto map CM
    !
    interface FastEthernet0/1
    ip address 192.168.1.1 255.255.255.0

    ip route 172.16.0.0 255.255.255.0 50.0.0.1

    ip access-list extended CRYPTO_ACL
    permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255

    A NONAT-ban nem vagyok biztos ASA oldalról. NEkem valamiféle object-networkon belüli NONAT rémlik, de egyáltalán minek foglalkozni a NAT-tal?
    Anélkül kellene. Aztán utána NAT-tal :D

Új hozzászólás Aktív témák