如果我有一个带有如下一行的加密映射:
crypto map Outside_map 10 set peer 1.2.3.4 5.6.7.8
我可以通过在 conf t 中输入以下内容来更改它:
# crypto map Outside_map 10 set peer 0.9.8.7 6.5.4.3
或者是否需要事先采取其他步骤?之后呢??运行 Cisco ASA 5510,软件版本 8.3(2)
我们可以在一行中更改 IPSec VPN 隧道的对端 IP 吗?
网络工程
思科
思科
虚拟专用网
网络安全
2021-07-19 23:01:57
1个回答
我可以通过在 conf t 中输入以下内容来更改它:
在您的示例中,发布crypto map Outside_map 10 set peer 0.9.8.7 6.5.4.3将附加0.9.8.7 6.5.4.3到您现有的对等列表中,用于Outside_map的序列号 10。对等列表最多可容纳 10 个地址。
ASA3(config)# show run crypto | i peer
crypto map Outside_map 10 set peer 1.2.3.4 5.6.7.8
ASA3(config)# crypto map Outside_map 10 set peer 0.9.8.7 6.5.4.3
ASA3(config)# show run crypto | i peer
crypto map Outside_map 10 set peer 1.2.3.4 5.6.7.8 0.9.8.7 6.5.4.3
1.2.3.4 5.6.7.8如果您打算简单地将两个交换为两个,则需要否定条目。
..是否需要事先采取其他步骤?之后呢?...
确保新的 VPN 对等点具有兼容的 IKE 阶段 I 和阶段 II 配置、自反 ACL、新对等点地址的隧道组配置和回滚计划可能有助于进行此更改。
示例输出:
以下示例显示将 ASA 的远程对等 IP 地址从 2.2.2.2 更改为 4.4.4.4。
asa1(config)# show run crypto
crypto map Outside_map 1 set peer 2.2.2.2
asa1(config)# tunnel-group 4.4.4.4 type ipsec-l2l
asa1(config)# tunnel-group 4.4.4.4 general-attributes
asa1(config-tunnel-general)# tunnel-group 4.4.4.4 ipsec-attributes
asa1(config-tunnel-ipsec)# ikev1 pre-shared-key C1sc0123
asa1(config)# show crypto isa sa
1 IKE Peer: 2.2.2.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
asa1(config)# show crypto ipsec sa
interface: outside
Crypto map tag: Outside_map, seq num: 1, local addr: 3.3.3.3
access-list VPN_ALLOWED_ACCESS extended permit ip 1.1.1.0 255.255.255.0 1.1.2.0 255.255.255.0
local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (1.1.2.0/255.255.255.0/0/0)
current_peer: 2.2.2.2
#pkts encaps: 60, #pkts encrypt: 60, #pkts digest: 60
#pkts decaps: 60, #pkts decrypt: 60, #pkts verify: 60
asa1(config)# no crypto map Outside_map 1 set peer 2.2.2.2
WARNING: The crypto map entry will be incomplete!
asa1(config)# crypto map Outside_map 1 set peer 4.4.4.4
asa1(config)# show run crypto | include peer
crypto map Outside_map 1 set peer 4.4.4.4
进行更改后,应为新的对等地址构建一个新的 SA。
#ping vrf ASA4 10.10.10.2 rep 50
Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 1.1.2.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!..!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 96 percent (48/50), round-trip min/avg/max = 96/109/200 ms
asa1(config)# show crypto isa sa
1 IKE Peer: 4.4.4.4
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
asa1(config)# show crypto ipsec sa
interface: outside
Crypto map tag: Outside_map, seq num: 1, local addr: 3.3.3.3
access-list VPN_ALLOWED_ACCESS extended permit ip 1.1.1.0 255.255.255.0 1.1.2.0 255.255.255.0
local ident (addr/mask/prot/port): (1.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (1.1.2.0/255.255.255.0/0/0)
current_peer: 4.4.4.4
#pkts encaps: 172, #pkts encrypt: 172, #pkts digest: 172
#pkts decaps: 172, #pkts decrypt: 172, #pkts verify: 172
其它你可能感兴趣的问题