Cisco Remote VPN配置
实验目的:
1. 移动用户安装Cisco vpn client和ASA之间建立remote vpn。
2.使得移动用户通过ASA分配的内部地址池的地址与inside 的PC1或服务器172.16.2.2进行安全的通讯。
路由的准备:
ASA: route outside 0.0.0.0 0.0.0.0 202.1.1.10
移动用户: 网关指向201.1.1.10 (可以上网就行)
ASA的VPN配置:
第一阶段策略:
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
第二阶段策略:
Crypto ipsec transform-set myset esp-des esp-md5-hmac
定义动态map:
Crypto dynamic-map cisco 10 set transform-set myset
定义crypto map:
Crypto map cisco 10 ipsec-isakmp dynamic cisco
Crypto map cisco interface outside
定义LOCAL POOL:
Ip local pool ippool 10.1.1.1-10.1.1.100
定义tunnel-group:
Tunnel-group ipsecgroup type ipsec-ra 定义group的名字和类型
Tunnel-group ipsecgroup general-attributes
Address-pool ippool
Tunnel-group ipsecgroup ipsec-attributes
Pre-shared-key cisco
定义用户名和密码:
Username cisco password cisco
Tunnel split(切分通道)的配置:
Tunnel split解决了拨VPN的用户可以上网又可以通过vpn访问公司内部服务器,通过定义一个acl的方式来向client表明那个内部网络是需要加密访问的,其它网络可以正常的明文通讯。
定义acl:
Access-list split_acl permit ip 172.16.2.0 255.255.255.0 any
格式为扩展访问控制列表,源为希望被加密访问的主机或网络,目的地是any
定义group-policy:
Group-policy split internal
Group-policy split attributes
Split-tunnel-policy tunnelspecified
Split-tunnel-network-list value split_acl
用户调用group-policy策略:
User cisco attributes
Vpn-group-policy split
- 美国ORACLE官方授权培训中心
- 美国REDHAT官方授权培训中心
- 美国CISCO 官方授权培训中心
- 中国华为官方授权培训中心
- 美国微软高级技术培训中心(CPLS)
- 美国CIW授权培训中心
- 美国Prometric授权考试中心
- 美国VUE授权考试中心
- 思科福建合作伙伴
- 美国CISCO银牌合作伙伴
- 美国VMware企业级合作伙伴
- 美国EMC极速联盟合作伙伴
- 美国Microsoft合作伙伴
- 中国深信服合作伙伴
- 美国DELL企业合作伙伴
- 美国IBM高级合作伙伴
- 美国HP高级合作伙伴