QUANMA-T(config)#crypto isakmp nat-traversal// 缺省 keepalives 时间 20
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:

图解Cisco ASA防火墙上面配置Remote vpn

来源: 思科社区
2012/2/20 11:18:18
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。



分享到: 新浪微博 腾讯微博
本文关键字: Cisco 防火墙 VPN

随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。

Remote VPN设备有很多。如Cisco路由器Cisco PIX防火墙Cisco ASA防火墙、Cisco VPN3002硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
前面我们也讲解过如何在路由器上面配置Remote VPN,那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote VPN呢。
第一步:建立一个地址池。
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。
QUANMA-T(config)#ip local pool vpnpool 192.168.10.100-192.168.10.199 mask 255.255.255.0
第二步:建立IKE第一阶段。
QUANMA-T(config)#isakmp policy 1
QUANMA-T(config-isakmp-policy)#authentication pre-share
QUANMA-T(config-isakmp-policy)#encryption 3des
QUANMA-T(config-isakmp-policy)#hash sha
QUANMA-T(config-isakmp-policy)#group 2
QUANMA-T(config-isakmp-policy)#lifetime 43200
QUANMA-T(config-isakmp-policy)#exit
第三步:将IKE第一阶段应用在outside接口上面。
QUANMA-T(config)#isakmp enable outside
第四步:定义转换集
QUANMA-T(config)#crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
这里设置的转换集名字为vpnset
第五步:动态加密映射配置
QUANMA-T(config)#crypto dynamic-map outside-dyn-map 10 set transform-set vpnset
QUANMA-T(config)#crypto dynamic-map outside-dyn-map 10 set reverse-route
QUANMA-T(config)#crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
第六步:在静态加密映射中调用动态加密映射并应用在接口上面
QUANMA-T(config)#crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
QUANMA-T(config)#crypto map outside-map interface outside
第七步:NAT穿越
IPSECESPUDPESPPATPATESPUDPUDP4500
QUANMA-T(config)#sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
QUANMA-T(config)#group-policy vpnclient internal
QUANMA-T(config)#group-policy vpnclient attributes
QUANMA-T(config-group-policy)#dns-server value 61.139.2.69
QUANMA-T(config-group-policy)#vpn-tunnel-protocol ipsec
QUANMA-T(config-group-policy)#default-domain value liuty.cn
QUANMA-T(config-group-policy)#exit
第十步:遂道组的建立以属性的设置
QUANMA-T(config)#tunnel-group vpnclient type ipsec-ra
QUANMA-T(config)#tunnel-group vpnclient ipsec-attributes
QUANMA-T(config-tunnel-ipsec)#pre-shared-key cisco123
QUANMA-T(config-tunnel-ipsec)#exit
QUANMA-T(config)#tunnel-group vpnclient general-attributes
QUANMA-T(config-tunnel-general)#authentication-server-group LOCAL
QUANMA-T(config-tunnel-general)#default-group-policy vpnclient
QUANMA-T(config-tunnel-general)#address-pool vpnpool
QUANMA-T(config-tunnel-general)#exit
而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN
QUANMA-T(config)#username liuty password yjtfpddc
QUANMA-T(config)#username liuty attributes
QUANMA-T(config-username)#vpn-group-policy vpnclient
QUANMA-T(config-username)#exit
第十二步:配置NAT免除
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
QUANMA-T(config)#access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
QUANMA-T(config)#nat (inside) 0 access-list no-nat
第十三步:遂道分离设置
QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
QUANMA-T(config)#group-policy vpnclient attributes
QUANMA-T(config-group-policy)#split-tunnel-policy tunnelspecified
QUANMA-T(config-group-policy)#split-tunnel-network-list value vpnclient_splitTunnelAcl
QUANMA-T(config-group-policy)#end
第十四步:保存
QUANMA-T#write memory
好了,上面设置就差不多了。那么我们现在来用Cisco vpn Client来拨号试试看。
打开我们“Cisco Systems VPN Client”,界面如下:
clip_image002
点击“New”来新建一个连接。
clip_image003
Connection Entry:输入一个名字。这里可以随便输入。
Host:输入我们VPN服务端的地址。
在“Gropu Authentication”的“Name”处输入我们组的用户名,“Password与Confirm Password”处输入我们设置组的密码。
设置好了以后点击“Save”保存。
clip_image005
当我们新建好了以后在这里就已经有一条我们刚才建立的条目了。
点击“Connect”来进行连接。
clip_image007
当我们连接成功以后,就需要我们输入该组下面的用户名与密码。点击“OK”进行连接。
当我们用户认证成功以后,该窗口就会自动消息,在我们的通知区域会显示一个不上锁的图标。
clip_image008
这时候点击该小锁图标,我们可以查看当前所连VPN的状态。
clip_image010
在这里我们可以看见,Client所分配到的IP地址为192.168.10.101,而服务端的IP地址为222.212.76.195,以及加密算法与连接时间,还有一些其他的东西。
而在Route Details里面可以看见我们通过VPN能够访问到的网段。
clip_image012
在这里我们可以看见,我们能够访问服务端的192.168.0.0/24这个网段里面的资源。
我们现在打开命令提示符输入“ipconfig /all”我们可以查看当前分配到的IP地址。
clip_image014
我们现在来ping一下我们企业内部的一台文件服务器看看:
clip_image016
clip_image018
从上图我们可以看见,我们现在已经ping通了我们内部的文件服务器了。到此为止我们在Cisco ASA防火墙上面配置Remote VPN就已经到此为止了。
下面附件里面附带有PDF文档与自动配置角本文件,只需修改一下,导入进去就可以用了。
责编:孔维维
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
收藏到畅享 打印全文 复制链接 添加到收藏 投稿邮箱

分享到: 新浪微博 腾讯微博
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map