Introduction
tässä asiakirjassa kuvataan, miten Cisco Adaptive Security Appliancen (ASA) asetukset tehdään, jotta VPN client connection voidaan ottaa käyttöön LAN-to-Lan (L2L) – vertaisosoitteesta.
Edeltävät opinnot
vaatimukset
Cisco suosittelee, että sinulla on tietoa näistä aiheista:
- Cisco ASA
- ETÄKÄYTTÖVPNS
- LAN-to-LAN VPN
käytetyt komponentit
tämän asiakirjan tiedot perustuvat Cisco 5520 Series ASA: han, joka käyttää ohjelmistoversiota 8.4(7).
tämän asiakirjan tiedot on luotu laitteista tietyssä laboratorioympäristössä. Kaikki tässä asiakirjassa käytetyt laitteet käynnistyivät tyhjennetyllä (oletus) asetuksella. Jos verkkosi on toiminnassa, varmista, että ymmärrät minkä tahansa komennon mahdollisen vaikutuksen.
taustatietoa
vaikka ei ole tavallista kohdata tilannetta, jossa VPN-asiakas yrittää luoda yhteyden L2L-tunnelin kautta, järjestelmänvalvojat saattavat haluta antaa tiettyjä oikeuksia tai käyttörajoituksia tietyille etäkäyttäjille ja kehottaa heitä käyttämään ohjelmistoasiakasta, kun pääsy näihin resursseihin on tarpeen.
Huomaa: Tämä skenaario toimi aiemmin, mutta kun headend ASA on päivitetty versioon 8.4(6) tai uudempaan, VPN-asiakas ei enää pysty luomaan yhteyttä.
Cisco bug ID CSCuc75090 esitteli käyttäytymisen muutoksen. Aiemmin Private Internet Exchange (PIX), kun Internet Protocol Security (IPSec) proxy ei vastannut crypto-map Access Control List (ACL), se jatkoi tarkistaa merkinnät alempana luettelossa. Tämä sisälsi ottelut dynaamisella salakirjoituskartalla, jonka vertaisryhmää ei ole määritelty.
tätä pidettiin haavoittuvuutena, koska etävalvojat saattoivat päästä käsiksi resursseihin, joita headendin ylläpitäjä ei tarkoittanut, kun staattinen L2L oli määritetty.
luotiin korjaus, joka lisäsi tarkistuksen estääkseen osumat kryptokarttamerkinnällä ilman vertaisverkkoa, kun se jo tarkisti vertaisverkkoon sopivan karttamerkinnän. Tämä kuitenkin vaikutti tässä asiakirjassa käsiteltyyn skenaarioon. Etävpn-asiakas, joka yrittää muodostaa yhteyden L2L-vertaisosoitteesta, ei pysty muodostamaan yhteyttä headendiin.
Configure
käytä tätä osiota ASA: n määrittämiseen, jotta VPN-asiakasyhteyden voi ottaa etänä L2L-vertaisosoitteesta.
Lisää uusi dynaaminen merkintä
jotta voit sallia VPN-etäyhteydet L2L-vertaisosoitteista, sinun on lisättävä uusi dynaaminen merkintä, joka sisältää saman IP-osoitteen.
Huomautus: Sinun on myös jätettävä toinen dynaaminen merkintä ilman vertaisverkkoa, jotta kuka tahansa Internet-asiakas voi muodostaa yhteyden.
tässä on esimerkki aiemmasta dynaamisesta kryptokartan työkonfiguraatiosta:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
tässä on dynaaminen crypto-kartta kokoonpano uusi dynaaminen merkintä määritetty:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto dynamic-map ra-dyn-map 10 set peer 209.165.201.1
crypto dynamic-map ra-dyn-map 20 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
Tarkista
tällä hetkellä tälle kokoonpanolle ei ole käytettävissä tarkistusmenettelyä.
vianmääritys
tällä hetkellä ei ole saatavilla erityisiä vianmääritystietoja tästä kokoonpanosta.