思科ASA防火墻與山石防火墻進(jìn)行IPSec對接

使用環(huán)境：
客戶分支通過ASA防火墻通過PPOE撥號接入internet，總部Hillstone防火墻有獨立的公網(wǎng)IP地址。兩端對接實現(xiàn)網(wǎng)內(nèi)相互訪問

ASA防火墻端配置
當(dāng)前ASA的版本信息如下：

主要配置如下：
object network LAN_NAT
subnet 10.11.2.0 255.255.255.0

object network DC_01
subnet 172.16.0.0 255.240.0.0

nat (inside,outside) source static LAN_NAT LAN_NAT destination static DC_01 DC_01

access-list l2l_list extended permit ip 10.11.2.0 255.255.255.0 172.16.0.0 255.240.0.0

crypto ipsec ikev1 transform-set DCtest esp-3des esp-sha-hmac

crypto map testDC 1 match address l2l_list
crypto map testDC 1 set pfs
crypto map testDC 1 set peer xxx.xxx.xxx.xxx
crypto map testDC 1 set ikev1 phase1-mode aggressive
crypto map testDC 1 set ikev1 transform-set DCtest
crypto map testDC interface outside

crypto isakmp identity hostname
crypto ikev1 enable outside

crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group hillstone type ipsec-l2l
tunnel-group hillstone ipsec-attributes
ikev1 pre-shared-key xxxxxx

Hillstone防火墻的配置

說明：
在認(rèn)證模式里，這里要選擇“野蠻模式”。
本地ID：在這里要選擇FQDN。

說明：
在這里，代理ID列表就填本地IP網(wǎng)段和對端IP網(wǎng)端，也就是兩端最終要通訊的網(wǎng)段。

Hillstone中的其它選項，可以根據(jù)情況來選擇。

兩端配置完成之后：
Hillstone端顯示：