例子:企业内网的Cisco路由器配置
下面是一个用典型的 Cisco 设备与AWS PaaS云IPSec做互联的例子。
假设本地网络为 192.168.5.0/24,AWS Paas网络为 192.168.1.0/24, AWS PaaS路由器公网地址为 121.201.63.22。
若使用 Cisco 的 cli 做配置,则包含了 crypto-map、access-list、psk、tunnel 的配置文本为:
ASA(config)# access-list my_nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA(config)# access-list cisco-to-qingcloud extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list my_nat
ASA(config)# crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
ASA(config)# crypto ipsec security-association lifetime seconds 28800
ASA(config)# crypto ipsec security-association lifetime kilobytes 4608000
ASA(config)# crypto map my_map 1 match address cisco-to-qingcloud
ASA(config)# crypto map my_map 1 set pfs
ASA(config)# crypto map my_map 1 set peer 121.201.63.22
ASA(config)# crypto map my_map 1 set transform-set ESP-3DES-MD5
ASA(config)# crypto map my_map interface outside
ASA(config)# crypto isakmp enable outside
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp)# authentication pre-share
ASA(config-isakmp)# encryption 3des
ASA(config-isakmp)# hash md5
ASA(config-isakmp)# group 2
ASA(config-isakmp)# lifetime 3600
ASA(config)# crypto isakmp nat-traversal 60
ASA(config)# tunnel-group 121.201.63.22 type ipsec-l2l
ASA(config)# tunnel-group 121.201.63.22 ipsec-attributes
ASA(config-tunnel-ipsec)# pre-shared-key ******
Seven
010-62962343-690
liujx@actionsoft.com.cn
感谢您对该文档的关注!如果您对当前页面内容有疑问或好的建议,请与我联系。如果您需要解答相关技术问题请登录AWS客户成功社区