ASA 8.x/ASDM 6.x:使用ASDM在現有站點到站點VPN中新增新VPN對等體資訊

下載選項

  • PDF     (415.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (357.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (459.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2011 年 10 月 27 日
文件 ID:113290

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文提供有關使用自適應安全裝置管理器(ASDM)將新的VPN對等項新增到現有站點到站點VPN配置時要進行的配置更改的資訊。 以下情況需要如此:

  • Internet服務提供商(ISP)已更改,並且使用了一組新的公共IP範圍。

  • 對站點中的網路進行全面重新設計。

  • 在站點上用作VPN網關的裝置會遷移到具有不同公共IP地址的新裝置。

本文檔假定站點到站點VPN已正確配置且工作正常。本文檔提供了在L2L VPN配置中更改VPN對等資訊要遵循的步驟。

必要條件

需求

思科建議您瞭解以下主題:

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • Cisco Adapative Security Appliance 5500系列,軟體版本8.2及更新版本

  • 軟體版本6.3及更高版本的思科自適應安全裝置管理器

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

回退資訊

站點到站點VPN在HQASA和BQASA之間工作正常。假設BQASA已經完成網路重新設計並在ISP級別修改了IP方案,但所有內部子網詳細資訊保持不變。

此示例配置使用以下IP地址:

  • 現有BQASA外部IP地址 — 200.200.200.200

  • 新的BQASA外部IP地址 — 209.165.201.2

注意:在此僅修改對等體資訊。由於內部子網中沒有其他更改,因此加密訪問清單保持不變。

ASDM配置

本節提供有關使用ASDM在HQASA上更改VPN對等資訊的可能方法的資訊。

建立新的連線配置檔案

這種方法比較簡單,因為它不會干擾現有的VPN配置,並且可以使用新的VPN對等體相關資訊建立新的連線配置檔案。

  1. 轉到Configuration > Site-to-Site VPN > Connection Profiles,然後在Connection Profiles區域下按一下Add

    add-new-vpn-peer-01.gif

    Add IPSec Site-to-Site Connection Profile視窗將開啟。

  2. 在Basic頁籤下,提供對等IP地址預共用金鑰Protected Networks的詳細資訊。使用與現有VPN相同的所有引數,對等體資訊除外。按一下「OK」(確定)。

    add-new-vpn-peer-02.gif

  3. 在「高級」選單下,按一下加密對映條目。請參閱優先順序索引標籤。此優先順序等於其等效CLI配置中的序列號。當分配的數字小於現有加密對映條目時,將首先執行此新配置檔案。優先順序編號越大,值越小。這用於更改執行特定加密對映的序列順序。按一下OK完成新連線配置檔案的建立。

    add-new-vpn-peer-03.gif

這將自動建立新的隧道組以及關聯的加密對映。使用此新的連線配置檔案之前,請確保可以使用新的IP地址訪問BQASA。

編輯現有VPN配置

新增新對等體的另一種方法是修改現有配置。無法為新對等體資訊編輯現有連線配置檔案,因為它已繫結到特定對等體。要編輯現有配置,您需要執行以下步驟:

  1. 建立新隧道組

  2. 編輯現有加密對映

建立新隧道組

轉至Configuration > Site-to-Site VPN > Advanced > Tunnel groups,然後按一下Add以建立一個包含新VPN對等體資訊的新隧道組。指定NamePre-shared Key欄位,然後按一下OK

注意:確保預共用金鑰與VPN的另一端匹配。

add-new-vpn-peer-04.gif

注意:在「名稱」欄位中,當身份驗證模式為預共用金鑰時,只應輸入遠端對等體的IP地址。僅當身份驗證方法是通過證書時,才能使用任何名稱。在Name欄位中新增名稱且身份驗證方法為預共用時,將顯示此錯誤:

add-new-vpn-peer-05.gif

編輯現有加密對映

可以編輯現有加密對映以關聯新的對等體資訊。

請完成以下步驟:

  1. 轉到Configuration > Site-to-Site VPN > Advanced > Crypto Maps,然後選擇所需的加密對映,然後按一下Edit

    add-new-vpn-peer-06.gif

    出現Edit IPSec Rule視窗。

  2. 在Tunnel Policy(Basic)頁籤的Peer Settings區域中,在Peer to be added欄位的IP Address中指定新對等體。然後按一下「Add」。

    add-new-vpn-peer-07.gif

  3. 選擇現有的對等IP地址,然後按一下Remove以僅保留新的對等體資訊。按一下「OK」(確定)。

    add-new-vpn-peer-08.gif

    注意:修改當前加密對映中的對等項資訊後,在ASDM視窗中立即刪除與此加密對映關聯的連線配置檔案。

  4. 加密網路的詳細資訊保持不變。如果需要修改這些選項,請轉至Traffic Selection頁籤。

    add-new-vpn-peer-09.gif

  5. 轉到Configuration > Site-to-Site VPN > Advanced > Crypto Maps窗格以檢視修改的加密對映。但是,這些更改只有在按一下Apply後才會發生。按一下Apply後,轉到Configuration > Site-to-Site VPN > Advanced > Tunnel groups選單以驗證是否存在關聯的隧道組。如果是,則將建立關聯的連線配置檔案。

    add-new-vpn-peer-10.gif

驗證

使用本節內容,確認您的組態是否正常運作。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

疑難排解

使用本節內容,對組態進行疑難排解。

IKE發起程式找不到策略:Intf test_ext, Src:172.16.1.103,夏令時:10.1.4.251

嘗試將VPN對等體從VPN集中器更改為ASA時,日誌消息中會顯示此錯誤。

解決方案:

這可能是在遷移過程中執行的不正確配置步驟的結果。在新增新對等項之前,請確保刪除到介面的加密繫結。此外,請確保使用隧道組中對等體的IP地址,而不是名稱。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
27-Oct-2011
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品