需求：两端防火墙同为cisco5500系列，实现点点×××连接，并实现nat与***共存

配置实例：

tunnel-group 210.1.1.22 type ipsec-l2l
tunnel-group 210.1.1.22 ipsec-attributes
 ikev1 pre-shared-key ***** （*为对方共享秘钥）

crypto ipsec ikev1 transform-set ×××-B esp-3des esp-sha-hmac

crypto map IPSEC_MP 10 match address ***-name (这个和后面access-list名称必须一样)

配置nat共存

object network no-nat-inside

host 10.1.1.1                       #本地内网地址

object network no-nat-outside

range 192.168.10.1 192.168.10.5  #对方内网地址

nat (DMZ,outside) source static no-nat-inside-caifu no-nat-inside-caifu destination static no-nat-outside no-nat-outside

添加访问控制列表，把流量引入×××

 access-list ***-name extended permit ip host 10.1.1.1 192.168.10.0  255.255.255.0 注意，cisco8.4以下版本略有不同，请参考思科官方文档