思科ASA防火墙与山石防火墙进行IPSec对接

使用环境:
客户分支通过ASA防火墙通过PPOE拨号接入internet,总部Hillstone防火墙有独立的公网IP地址。两端对接实现网内相互访问

ASA防火墙端配置
当前ASA的版本信息如下:

主要配置如下:
object network LAN_NAT
subnet 10.11.2.0 255.255.255.0

object network DC_01
subnet 172.16.0.0 255.240.0.0

nat (inside,outside) source static LAN_NAT LAN_NAT destination static DC_01 DC_01

access-list l2l_list extended permit ip 10.11.2.0 255.255.255.0 172.16.0.0 255.240.0.0

crypto ipsec ikev1 transform-set DCtest esp-3des esp-sha-hmac

crypto map testDC 1 match address l2l_list
crypto map testDC 1 set pfs
crypto map testDC 1 set peer xxx.xxx.xxx.xxx
crypto map testDC 1 set ikev1 phase1-mode aggressive
crypto map testDC 1 set ikev1 transform-set DCtest
crypto map testDC interface outside

crypto isakmp identity hostname
crypto ikev1 enable outside

crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group hillstone type ipsec-l2l
tunnel-group hillstone ipsec-attributes
ikev1 pre-shared-key xxxxxx

Hillstone防火墙的配置

说明:
在认证模式里,这里要选择“野蛮模式”。
本地ID:在这里要选择FQDN。


说明:
在这里,代理ID列表就填本地IP网段和对端IP网端,也就是两端最终要通讯的网段。

Hillstone中的其它选项,可以根据情况来选择。

两端配置完成之后:
Hillstone端显示:

原文地址:https://blog.51cto.com/05wylz/2449482

时间: 2024-10-09 00:31:49

思科ASA防火墙与山石防火墙进行IPSec对接的相关文章

思科ASA部署Failover (Active/Standby)

          思科ASA部署Failover (Active/Standby)         Failover  Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的. 工作原理: 两台设备型号一样(型号.内存.接口等),通过一条链路连接到对端(这个连接也叫心跳线).该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式.活跃机器处于在线工作状

思科ASA基础理论与配置

思科的ASA防火墙是一个状态化防火墙,维护一个关于用户信息的连接表(conn),默认情况下ASA对TCP和UDP的流量提供状态化连接,对ICMP协议是非状态化的. 思科ASA的报文穿越过程如下: 一个新来的TCP报文视图建立连接 1.ASA检查ACL是否允许连接 2.ASA执行路由查询如果有路由则ASA创建一个conn条目 3.ASA在检测引擎中检测预定义的一套规则,根据检测引擎检测结果确定是否转发 4.ASA接收到返回报文进行conn表比对是否有条目有就允许没有就丢弃 如果从安全级别低的端口要

鸟哥超阳春客户端防火墙设计与防火墙规则储存

# 1. 清除规则 iptables -F   清除所有已订定的规则 iptables -X   杀掉所有使用者"自定义"的chain(应该说的是tables) iptables -Z    将所有的chain的计数与流量统计都归零 # 2. 设定政策 iptables -P   INPUT DROP iptables -P  OUTPUT ACCEPT iptables -P FORWARD ACCEPT # 3~5. 制订各项规则 iptables -A INPUT -i lo -

网站防CC***软件防火墙和WEB防火墙大比较

网站防CC***软件防火墙和WEB防火墙大比较CC***是一种成本极低的DDOS***方式,只要有上百个IP,每个IP弄几个进程,那么可以有几百上千个并发请求,很容易让服务器资源耗尽,从而造成网站宕机:防御CC***,硬件防火墙的效果不怎么明显,因为CC***的IP量太小,很难触发防御机制,反而是软件防火墙.WEB防火墙更容易防御.那么,软件防火墙和WEB防火墙之间有什么区别呢?要怎么选择软件防火墙.WEB防火墙呢?为了让大家更好地认识软件防火墙和WEB防火墙,本着已有的认识,对两者进行较为全面

【思科防火墙】思科ASA防火墙企业网实例

前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部.外部的流量进行过滤,从而进一步加强公司网络的安全性. 实验拓扑: 实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网. 在ASA1上做PAT,使得内网主机可以上外网 在ASA1上做配置,使得R1可

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q

思科ASA防火墙之NAT

实验拓扑 软件版本GN3 0.8.6  ASA镜像8.0(2) 实验环境 R1和R2模拟公司内网,R3模拟互联网设备.ASA作为公司出口,实现NAT地址转换 实验需求 在ASA上做动态NAT实现对R1 loopback 0 网段的地址转换 在ASA上做动态PAT实现对R1 loopback 1 网段的地址转换 在ASA上做静态NAT实现对R2 loopback 0 地址经行转换 在ASA上做静态PAT实现将R2的F0/0的23端口映射为218.1.1.1这个地址的23端口 地址规划 R1 loo

思科ASA防火墙软件IOS,附下载链接

asa802-k8.bin asa803-k8.bin asa804-k8.bin asa805-k8.bin asa822-k8.bin asa823-k8.bin asa824-k8.bin asa831-k8.bin asa832-k8.bin asa841-k8.bin asa842-k8.bin asa843-k8.bin asa844-1-k8.bin asa845-k8.bin asa846-k8.bin asa847-k8.bin asa901-k8.bin asa902-k8.

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地