CiscoASA防火墙实现远程访问虚拟专用网——Easy虚-创新互联

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的。这里就直接开始配置了,不再详细的介绍了!

创新互联公司是一家业务范围包括IDC托管业务,网站空间、主机租用、主机托管,四川、重庆、广东电信服务器租用,德阳服务器托管,成都网通服务器托管,成都服务器租用,业务范围遍及中国大陆、港澳台以及欧美等多个国家及地区的互联网数据服务公司。

在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!

一、案例环境

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
由于模拟器的原因,导致防火墙不能和终端设备相连,所以中间放了一个交换机!

二、案例需求

(1)用户通过Easy 虚拟专用网通过域名(www.yinuo.com) 访问内部的网站;
(2)用户通过域名(www.xiaojiang.com) 正常访问公网上的网站;
(3)用户根据拓补图的要求,自行配置IP地址及相应的服务;

三、案例实施

(1)网关ASA防火墙的配置:
ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址,并设置默认网关
ASA(config)# username lvzhenjiang password jianjian
//防护墙默认已经启用AAA,而且是通过本地验证,所以直接设置用户名和密码即可
ASA(config)# crypto isakmp enable outside             //启用ISAKMP/IKE协议
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

阶段1配置完成!

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池,向虚拟专用网客户端分发IP地址(不可和内网的IP地址为同一网段)
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定义一个命名的ACL用于允许192.168.1.0去往任何地址,当推送到客户端时,就会反过来
//变成了允许任何IP地址访问192.168.1.0。因为这里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定义策略并放置在本地(external表示定义在别的AAA服务器上)
ASA(config)# group-policy lv-group attributes               //定义用户组的属性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定义发布给客户端的DNS服务器地址
ASA(config-group-policy)# address-pool value lv-pool
//调用刚才定义的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//关于上面的“split-tunnel-policy”后面可以接三种类型的规则,如下:
* tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;
* tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;
* excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项;
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//调用刚才定义的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道组的类型是远程访问  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道组的属性
ASA(config-tunnel-general)# address-pool lv-pool                //调用刚才定义的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //调用用户组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定义隧道组名称
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定义隧道组密码
ASA(config-tunnel-ipsec)# exit

阶段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定义传输集名称,及加密验证的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定义动态map名称为lv-dymap,优先级为1,并调用刚才定义的传输集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定义静态map,优先级为1000 ,调用动态map
ASA(config)# crypto map lv-stamap int outside
//将静态map应用到网关连接外网的接口上

阶段2配置完成
(2)客户端用于测试

这里使用windows 7客户端工具 进行测试!如果使用windows 10系统的朋友,安装客户端工具时,会相对麻烦一些,可以参考博文Windows 10系统安装虚拟专用网客户端工具

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
接下来无脑下一步即可!安装完成之后
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
连接成功后,查看生成的虚拟专用网的IP地址
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
访问公司内部、公网的服务器测试访问!
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚
访问成功!

———————— 本文至此结束,感谢阅读 ————————

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站题目:CiscoASA防火墙实现远程访问虚拟专用网——Easy虚-创新互联
文章起源:http://pwwzsj.com/article/dpieep.html