需求:两端防火墙同为cisco5500系列,实现点点×××连接,并实现nat与***共存配置实例:tunnel-group210.1.1.22typeipsec-l2ltunnel-group210.
.
需求:两端防火墙同为cisco5500系列,实现点点×××连接,并实现nat与***共存
配置实例:
tunnel-group 210.1.1.22 type ipsec-l2l
tunnel-group 210.1.1.22 ipsec-attributes
ikev1 pre-shared-key ***** (*为对方共享秘钥)
crypto ipsec ikev1 transform-set ×××-B esp-3des esp-sha-hmac
crypto map IPSEC_MP 10 match address ***-name (这个和后面access-list名称必须一样)
crypto map IPSEC_MP 10 set peer 210.1.1.22 (对方***网关)
crypto map IPSEC_MP 10 set ikev1 transform-set ×××-B
配置nat共存
object network no-nat-inside
host 10.1.1.1 #本地内网地址
object network no-nat-outside
range 192.168.10.1 192.168.10.5 #对方内网地址
nat (DMZ,outside) source static no-nat-inside-caifu no-nat-inside-caifu destination static no-nat-outside no-nat-outside
添加访问控制列表,把流量引入×××
access-list ***-name extended permit ip host 10.1.1.1 192.168.10.0 255.255.255.0 注意,cisco8.4以下版本略有不同,请参考思科官方文档
.