配置Cisco ASA防火墙上面配置Remote vpn

cisco防火墙  时间:2021-02-09  阅读:()

随着现在互联网的飞速发展企业规模也越来越大一些分支企业、在外办公以及SOHO一族们需要随时随地的接入到我们企业的网络中来完成我们一些日常的工作这时我们VPN在这里就成了一个比较重要的一个角色了。

Remote VPN设备有很多。如Cisco路由器、 Cisco PIX防火墙、 Cisco ASA防火墙、 Cisco VPN3002硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术主要的目的当然就是简化远端设备的配置和管理。

前面我们也讲解过如何在路由器上面配置Remote VPN那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote VPN呢。

第一步建立一个地址池。

远程访问客户端需要在登录期间分配一个IP地址所以我们还需要为这些客户端建立一个DHCP地址池不过如果你有DHCP服务器还可以使用DHCP服务器。

QUANMA-T(config)# ip local pool vpnpool

192. 168. 10. 100-192. 168. 10. 199 mask 255.255.255.0

第二步建立IKE第一阶段。

QUANMA-T(conf ig)# isakmp policy 1

QUANMA-T(config-isakmp-policy)# authentication pre-share

QUANMA-T(config-isakmp-policy)# encryption 3des

QUANMA-T(conf ig-isakmp-policy)# hash sha

QUANMA-T(conf ig-isakmp-policy)# group 2

QUANMA-T(config-isakmp-policy)# lifetime 43200

QUANMA-T(conf ig-i sakmp-pol icy)# exit

第三步将IKE第一阶段应用在outside接口上面。

QUANMA-T(conf ig)# isakmp enable outside

第四步定义转换集

QUANMA-T(config)# crypto ipsec transform-set vpnset esp-3desesp-sha-hmac

这里设置的转换集名字为vpnset。

第五步动态加密映射配置

QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 settransform-set vpnset

QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 setreverse-route

QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 setsecurity-association lifetime seconds 288000

第六步在静态加密映射中调用动态加密映射并应用在接口上面

QUANMA-T(config)# crypto map outside-map 10 ipsec-isakmp dynamicoutside-dyn-map

QUANMA-T(config)# crypto map outside-map interface outside

第七步 NAT穿越

它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。 ESP是一个三层的包只有协议号没有端口号当它想穿越一个PAT设备时 由于PAT设备是基于端口的转换所以ESP包过不了这时就要将它封装进UDP包才能正常传输源目端口都是UDP4500

QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒

第八步配置访问列表旁路

通过使用sysopt connect命令我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表

QUANMA-T(config)# sysopt connection permit-ipsec

第九步创建与设置组策略

组策略用于指定应用于所连接客户端的参数。在本文中我们将创建一个称之为vpnclient的组策略。

QUANMA-T(config)# group-policy vpnclient internal

QUANMA-T(config)# group-policy vpnclient attributes

QUANMA-T(config-group-policy)# dns-server value 61. 139.2.69QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec

QUANMA-T(config-group-policy)# default-domain value liuty.cnQUANMA-T(conf ig-group-policy)# exit

第十步遂道组的建立以属性的设置

QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra

QUANMA-T(config)# tunnel-group vpnclient ipsec-attributesQUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123

QUANMA-T(conf ig-tunnel-ipsec)# exit

QUANMA-T(config)# tunnel-group vpnclient general-attributesQUANMA-T(config-tunnel-general)#authentication-server-group LOCALQUANMA-T(config-tunnel-general)# default-group-policy vpnclientQUANMA-T(config-tunnel-general)# address-pool vpnpool

QUANMA-T(conf ig-tunnel-general)# exit

而在这里vpnclient就是我们在设置组用户的用户名域共享密钥就是我们组用户的密码。

第十一步配置用户账户

现在我们已经为配置用户账户做好了准备。在此我们要创建一个用户并且将此用户指派给我们的远程访问VPN

QUANMA-T(config)# username liuty password yjtfpddc

QUANMA-T(config)# username liuty attributes

QUANMA-T(config-username)# vpn-group-policy vpnclient

QUANMA-T(conf ig-username)# exit

第十二步配置NAT免除

现在我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT) 。首先我们要创建一个可定义通信的访问列表然后我们将此列表用于接口的NAT语句

QUANMA-T(config)# access-list no-nat extended permit ip 192. 168.0.0

255.255.255.0 192. 168. 10.0 255.255.255.0

QUANMA-T(config)# nat (inside) 0 access-list no-nat

第十三步遂道分离设置

QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standardpermit 192. 168.0.0 255.255.255.0

QUANMA-T(config)# group-policy vpnclient attributes

QUANMA-T(config-group-policy)#split-tunnel-policy tunnelspecified

QUANMA-T(config-group-policy)# split-tunnel-network-list valuevpnclient_splitTunnelAcl

QUANMA-T(conf ig-group-pol icy)# end

第十四步保存

QUANMA-T#write memory

好了上面设置就差不多了。那么我们现在来用Cisco vpn Client来拨号试试看。

打开我们“Cisco Systems VPN Client” 界面如下

点击“New”来新建一个连接。

Connection Entry输入一个名字。这里可以随便输入。

Host输入我们VPN服务端的地址。

在“Gropu Authentication”的“Name”处输入我们组的用户名

“Password与Confirm Password”处输入我们设置组的密码。

设置好了以后点击“Save”保存。

当我们新建好了以后在这里就已经有一条我们刚才建立的条目了。

点击“Connect”来进行连接。

当我们连接成功以后就需要我们输入该组下面的用户名与密码。点击“OK”进行连接。

当我们用户认证成功以后该窗口就会自动消息在我们的通知区域会显示一个不上锁的图标。

这时候点击该小锁图标我们可以查看当前所连VPN的状态。

在这里我们可以看见 Client所分配到的IP地址为192. 168. 10. 101而服务端的IP地址为222.212.76. 195 以及加密算法与连接时间还有一些其他的东西。

而在Route Details里面可以看见我们通过VPN能够访问到的网段。

在这里我们可以看见我们能够访问服务端的192. 168.0.0/24这个网段里面的资源。

我们现在打开命令提示符输入“ipconfig /all”我们可以查看当前分配到的IP地址。

我们现在来ping一下我们企业内部的一台文件服务器看看

从上图我们可以看见我们现在已经ping通了我们内部的文件服务器了。到此为止我们在Cisco ASA防火墙上面配置Remote VPN就已经到此为止了。

下面附件里面附带有PDF文档与自动配置角本文件只需修改一下导入进去就可以用了。

LOCVPS新上日本软银线路VPS,原生IP,8折优惠促销

LOCVPS在农历新年之后新上架了日本大阪机房软银线路VPS主机,基于KVM架构,配备原生IP,适用全场8折优惠码,最低2GB内存套餐优惠后每月仅76元起。LOCVPS是一家成立于2012年的国人VPS服务商,提供中国香港、韩国、美国、日本、新加坡、德国、荷兰、俄罗斯等地区VPS服务器,基于KVM或XEN架构(推荐选择KVM),线路方面均选择国内直连或优化方案,访问延迟低,适合建站或远程办公使用。...

Advinservers:美国达拉斯便宜VPS/1核/4GB/80GB SSD/1Gbps不限流量/月付$2.5/美国10Gbps高防服务器/高达3.5TBDDos保护$149.99元/月

Advinservers,国外商家,公司位于新泽西州,似乎刚刚新成立不久,主要提供美国和欧洲地区VPS和独立服务器业务等。现在有几款产品优惠,高达7.5TB的存储VPS和高达3.5TBDDoS保护的美国纽约高防服务器,性价比非常不错,有兴趣的可以关注一下,并且支持Paypal付款。官方网站点击直达官方网站促销产品第一款VPS为预购,预计8月1日交付。CPU为英特尔至强 CPU(X 或 E5)。官方...

2021年恒创科技618活动:香港/美国服务器/云服务器/高防全场3折抢购

2021年恒创科技618活动香港美国服务器/云服务器/高防全场3折抢购,老客户续费送时长,每日限量秒杀。云服务器每款限量抢购,香港美国独服/高防每款限量5台/天,香港节点是CN2线路还不错。福利一:爆品秒杀 超低价秒杀,秒完即止;福利二:云服务器 火爆机型 3折疯抢;福利三:物理服务器 爆款直降 800元/月起;福利四:DDOS防护 超强防御仅 1750元/月。点击进入:2021年恒创科技618活...

cisco防火墙为你推荐
回收站在哪手机回收站在哪里打开淘宝收费淘宝网的收费项目有哪些免费开通黄钻如何免费开通qq黄钻照片转手绘照片弄成手绘一样的那个软件到底叫什么,能不能告诉啊?ps抠图技巧photoshop最基本的抠图方法和技巧!qq怎么发邮件用QQ怎样发送文件小米3大概多少钱小米3现在多少钱创维云电视功能创维健康云电视有什么功能?ejb开发什么是EJB?它是干什么的?和JAVA,JSP有关系吗?他们各有什么特点和用途?分词技术什么是seo分词技术
百度域名 政务和公益机构域名注册管理中心 网站域名备案 ftp空间 阿里云邮箱登陆首页 idc测评网 好看的留言 主机屋免费空间 realvnc 申请个人网站 空间论坛 有奖调查 adroit 1g空间 免费高速空间 美国免费空间 新睿云 双线asp空间 万网空间管理 网通服务器 更多