CiscoASA防火墙实现远程访问虚拟专用网——Easy虚

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的。这里就直接开始配置了,不再详细的介绍了!

我们提供的服务有:成都网站设计、做网站、微信公众号开发、网站优化、网站认证、庆元ssl等。为近千家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的庆元网站制作公司

在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!

一、案例环境

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
由于模拟器的原因,导致防火墙不能和终端设备相连,所以中间放了一个交换机!

二、案例需求

(1)用户通过Easy 虚拟专用网通过域名(www.yinuo.com) 访问内部的网站;
(2)用户通过域名(www.xiaojiang.com) 正常访问公网上的网站;
(3)用户根据拓补图的要求,自行配置IP地址及相应的服务;

三、案例实施

(1)网关ASA防火墙的配置:
ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址,并设置默认网关
ASA(config)# username lvzhenjiang password jianjian
//防护墙默认已经启用AAA,而且是通过本地验证,所以直接设置用户名和密码即可
ASA(config)# crypto isakmp enable outside             //启用ISAKMP/IKE协议
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

阶段1配置完成!

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池,向虚拟专用网客户端分发IP地址(不可和内网的IP地址为同一网段)
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定义一个命名的ACL用于允许192.168.1.0去往任何地址,当推送到客户端时,就会反过来
//变成了允许任何IP地址访问192.168.1.0。因为这里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定义策略并放置在本地(external表示定义在别的AAA服务器上)
ASA(config)# group-policy lv-group attributes               //定义用户组的属性
ASA(config-group-policy)# DNS-server value 192.168.1.100
//定义发布给客户端的DNS服务器地址
ASA(config-group-policy)# address-pool value lv-pool
//调用刚才定义的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//关于上面的“split-tunnel-policy”后面可以接三种类型的规则,如下:
* tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;
* tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;
* excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项;
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//调用刚才定义的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道组的类型是远程访问  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道组的属性
ASA(config-tunnel-general)# address-pool lv-pool                //调用刚才定义的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //调用用户组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定义隧道组名称
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定义隧道组密码
ASA(config-tunnel-ipsec)# exit

阶段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定义传输集名称,及加密验证的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定义动态map名称为lv-dymap,优先级为1,并调用刚才定义的传输集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定义静态map,优先级为1000 ,调用动态map
ASA(config)# crypto map lv-stamap int outside
//将静态map应用到网关连接外网的接口上

阶段2配置完成
(2)客户端用于测试

这里使用windows 7客户端工具 进行测试!如果使用windows 10系统的朋友,安装客户端工具时,会相对麻烦一些,可以参考博文Windows 10系统安装虚拟专用网客户端工具

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
接下来无脑下一步即可!安装完成之后
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
连接成功后,查看生成的虚拟专用网的IP地址
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
访问公司内部、公网的服务器测试访问!
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
访问成功!

———————— 本文至此结束,感谢阅读 ————————


标题名称:CiscoASA防火墙实现远程访问虚拟专用网——Easy虚
当前路径:http://myzitong.com/article/pijpss.html