压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　ASA的配置：

　　ciscoasa(config)# crypto isakmp policy 10

　　ciscoasa(config-isakmp-policy)# encryption des

　　ciscoasa(config-isakmp-policy)# hash md5

　　ciscoasa(config-isakmp-policy)# authentication pre-share

　　ciscoasa(config-isakmp-policy)# group 2

　　ciscoasa(config-isakmp-policy)# exit

　　ciscoasa(config)#

　　ciscoasa(config)# crypto ipsec transform-set test esp-des esp-md5-hmac

　　ciscoasa(config)# crypto dynamic-map dymap 500 set transform-set test

　　ciscoasa(config)# crypto dynamic-map dymap 500 set reverse-route

　　ciscoasa(config)# crypto map mymap 500 ipsec-isakmp dynamic dymap

　　ciscoasa(config)# crypto map mymap interface outside

　　ciscoasa(config)# isakmp enable outside

　　ciscoasa(config)# isakmp key cisco address 0.0.0.0 netmask 0.0.0.0

　　對端ADSL接入的路由器配置

　　R1(config)#access-list 102 permit ip 10.1.1.0 0.0.0.255 10.100.1.00.0.0.255

　　R1(config)#crypto isakmp policy 1

　　R1(config-isakmp)#encryption des

　　R1(config-isakmp)#hash md5

　　R1(config-isakmp)#authentication pre-share

　　R1(config-isakmp)#group 2

　　R1(config-isakmp)#exit

　　R1(config)#crypto isakmp key 0 cisco address11.11.11.11

　　R1(config)#crypto ipsec transform-set vpn esp-des esp-md5-hmac

　　R1(cfg-crypto-trans)#exit

　　R1(config)#crypto map mymap 1 ipsec-isakmp

　　R1(config-crypto-map)#set peer 11.11.11.11

　　R1(config-crypto-map)#set transform-set vpn

　　R1(config-crypto-map)#match address 102

　　R1(config-crypto-map)#exit

　　R1(config)#int f0/1

　　R1(config-if)#crypto map mymap

　　R1(config-if)#exit

　　按照上面的配置寫好后，結(jié)果發(fā)現(xiàn)VPN不通，sh crypto isakmpsa無任何信息，ASA上啟用debug后，inside口下面的PC發(fā)ping包，結(jié)果無任何debug顯示。無奈只好在對端路由器上發(fā)ping包，在ASA上做debug，出來顯示信息了：

　　Feb 15 12：43：50 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntry

　　Feb 15 12：44：00 [IKEv1]： IP = 113.119.126.28， Removing peer frompeer table failed， no match！

　　Feb 15 12：44：00 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntry

　　Feb 15 12：44：10 [IKEv1]： IP = 113.119.126.28， Removing peer frompeer table failed， no match！

　　Feb 15 12：44：10 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntry

　　Feb 15 12：44：20 [IKEv1]： IP = 113.119.126.28， Removing peer frompeer table failed， no match！

　　Feb 15 12：44：20 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntry

　　Feb 15 12：44：30 [IKEv1]： IP = 113.119.126.28， Removing peer frompeer table failed， no match！

　　Feb 15 12：44：30 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntry

　　Feb 15 12：44：40 [IKEv1]： IP = 113.119.126.28， Removing peer frompeer table failed， no match！

　　Feb 15 12：44：40 [IKEv1]： IP = 113.119.126.28， Error： Unable toremove PeerTblEntr

　　ASA上一直重復(fù)顯示這樣的debug信息，在cisco的官網(wǎng)上也沒找到解決方法。百度找不到，后來只能google，結(jié)果在一家國外的技術(shù)論壇上得到了提示（一個(gè)CCIE#1937的老前輩寫的），自己在網(wǎng)上搜索并總結(jié)了

　　在ASA上敲入isakmp key cisco address 0.0.0.0 netmask 0.0.0.0后，shrun如下：

　　tunnel-group DefaultRAGroup ipsec-attributes

　　pre-shared-key *

　　這里L(fēng)2L用于IPsec VPN site-to-site協(xié)商，RA用于Remote IPsecVPN（如EasyVPN）的積極模式協(xié)商，所以在這里我們需要定義一個(gè)L2L的tunnel-group，即

　　tunnel-group DefaultL2LGroup ipsec-attributes

　　pre-shared-key *

　　然后在ASA上定義了數(shù)據(jù)流的ACL

　　ciscoasa(config)#access-list test extend permit ip 10.100.1.0255.255.255.0 10.1.1.0 255.255.255.0

　　ciscoasa(config)# crypto dynamic-map dymap 500 match addresstest