关于H3C F000-S 与 ASA 5520 ××× 案例~

2011 7 11 星期一
    项目需求 : 因新址网络环境问题 , 要与旧址网络服务器等进行数据交换 .
       设备 : 新址为 H3C F1000-S
,
 旧址为 ASA 5520
       拓扑:



首先介绍 ASA 配置

-------------------------
crypto isakmp key cisco!123 address 219.143.228.100
----------------------------------------------------------------------------------------------------
crypto isakmp key cisco!123 address 219.143.228.100 no-config-mode 关闭用户名认证

crypto isakmp key cisco!123 address 219.143.228.10 no-xauth
敲上述两条出现一下。 SHOWRUN
tunnel-group 219.143.228.100 type ipsec-l2l
tunnel-group 219.143.228.100 general-attributes
tunnel-group 219.143.228.100 ipsec-attributes

pre-shared-key *0
上面黑色字体的做完之后 show run
, 看到的其实就这个 TUNNEL-GROUP



crypto map outside_map0 10 set pfs 一般不建立
注意一下这里, 这个所谓的完美传输跟 H3C 有冲突,一定不能开

crypto isakmp iden hostname
 不写 HOSTNAME 为自动 AUTO
crypto map outside_map0 10 match address tzipsec***
crypto map outside_map0 10 set peer 219.143.228.100
crypto map outside_map0 10 set transform-set set1
crypto map outside_map0 10 set phase1-mode aggressive group2
这个就是我所提到的 强制模式 如果都是 CISCO 的, MAIN MODE 即可
但是和 H3C 的设备对连 要用 AGGRESSIVE MODE
-------------------------------------------------------------

crypto ipsec transform-set set1 esp-des esp-md5-hmac
 传输集

----------------------------------------------------------------
crypto isakmp policy 20

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400
--------------------------------------------------------------------- 可以共用一个 POLICY
大家可以看到上面跑的 CRYPYP MAP 用的是 10 因为之前 ASA 里面已经有一个 L2L ××× 所以这里只是一个过程, 就用之前的 MAP 10 OK 因为我懒!

access-list tzipsec*** extended permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255.255.0

感兴趣流

access-list
no-nat extended permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255.255.0
--------------------------------------------------------------------------------

route inside 10.3.3.0 255.255.255.0 172.16.10.0 (下一跳) 回指路由



SHOW RUN 就不用贴出来了!!!




重点来了
H3C F1000-S
×××
WEB 配置!

上图:


H3C都是WEB 界面的,  大家下附件吧。

总结:

   这其实不是什么多大的问题 在遇到的时候自己也一直在trableshooting 后来觉得不对劲,ASA 这边的东西都看了个底儿掉了, 也没找到什么不对的地方, 所以用WEB 登陆了H3C 开始找问题 经过几天的尝试 终于建立起来了 还有一部分H3C 穿越的问题, 会稍后续上。
   网络其实东西并不多 熟知理念 了解自己到底要干什么 事情总会解决的, 期间我也有烦过, 也有灰心过, 但在放弃的内一瞬间, 我尝受到了成功的一点点喜悦。同时也更激励我去冲级IE
   希望这篇文章能对各位有帮助 谢谢