【每日必学】配置思科防火墙ASA Remote VPN

Cisco Remote VPN

 

拓扑图：

 
 

 

泉州CCNA培训的实验目的：

 

1. 移动用户安装Cisco vpn client和ASA之间建立remote vpn。2．使得移动用户通过ASA分配的内部地址池的地址与inside 的PC1或服务器172.16.2.2

 

进行安全的通讯。

 

路由的准备：

 

ASA: route outside 0.0.0.0 0.0.0.0 202.1.1.10

 

移动用户: 网关指向201.1.1.10 (可以上网就行)

 

ASA的VPN配置：

 

第一阶段策略：

 

crypto isakmp enable outside crypto isakmp policy 10

 

authentication pre-share encryption des

 

hash md5 group 2

 

第二阶段策略：

 

Crypto ipsec transform-set myset esp-des esp-md5-hmac

 

定义动态map：

 

Crypto dynamic-map cisco 10 set transform-set myset

 

定义crypto map:

 

Crypto map cisco 10 ipsec-isakmp dynamic cisco

 

Crypto map cisco interface outside

 

定义LOCAL POOL:

 

Ip local pool ippool 10.1.1.1-10.1.1.100

 

定义tunnel-group:

 

Tunnel-group ipsecgroup type ipsec-ra 定义group的名字和类型 Tunnel-group ipsecgroup general-attributes

 

Address-pool ippool

 

Tunnel-group ipsecgroup ipsec-attributes Pre-shared-key cisco

 

定义用户名和密码：

 

Username cisco password cisco

 

Tunnel split(切分通道)的配置：

 

Tunnel split解决了拨VPN的用户可以上网又可以通过vpn访问公司内部服务器，通过定义一个acl的方式来向client表明那个内部网络是需要加密访问的，其它网络可以正常的明文通讯。

 

定义acl：

 

Access-list split_acl permit ip 172.16.2.0 255.255.255.0 any

 

格式为扩展访问控制列表，源为希望被加密访问的主机或网络,目的地是any

 

定义group-policy:

 

Group-policy split internal

 

Group-policy split attributes

 

Split-tunnel-policy tunnelspecified