Cisco Remote VPN配置

实验目的：

1. 移动用户安装Cisco vpn client和ASA之间建立remote vpn。

2.使得移动用户通过ASA分配的内部地址池的地址与inside 的PC1或服务器172.16.2.2进行安全的通讯。

路由的准备：

ASA: route outside 0.0.0.0 0.0.0.0 202.1.1.10

移动用户: 网关指向201.1.1.10 (可以上网就行)

ASA的VPN配置：

第一阶段策略：

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 2

第二阶段策略：

Crypto ipsec transform-set myset esp-des esp-md5-hmac

定义动态map：

Crypto dynamic-map cisco 10 set transform-set myset

定义crypto map:

Crypto map cisco 10 ipsec-isakmp dynamic cisco

Crypto map cisco interface outside

定义LOCAL POOL:

Ip local pool ippool 10.1.1.1-10.1.1.100

定义tunnel-group:

Tunnel-group ipsecgroup type ipsec-ra 定义group的名字和类型

Tunnel-group ipsecgroup general-attributes

Address-pool ippool

Tunnel-group ipsecgroup ipsec-attributes

Pre-shared-key cisco

定义用户名和密码：

Username cisco password cisco

Tunnel split(切分通道)的配置：

Tunnel split解决了拨VPN的用户可以上网又可以通过vpn访问公司内部服务器，通过定义一个acl的方式来向client表明那个内部网络是需要加密访问的，其它网络可以正常的明文通讯。

定义acl：

Access-list split_acl permit ip 172.16.2.0 255.255.255.0 any

格式为扩展访问控制列表，源为希望被加密访问的主机或网络,目的地是any

定义group-policy:

Group-policy split internal

Group-policy split attributes

Split-tunnel-policy tunnelspecified

Split-tunnel-network-list value split_acl

用户调用group-policy策略：

User cisco attributes

Vpn-group-policy split