Cisco:ASA防火墙上面配置Remote vpn

 Remote VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN00 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server 端建立VPN链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
  前面我们也讲解过如何在路由器上面配置Remote VPN,那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote VPN呢。
  第一步:建立一个地址池。
  远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。
  QUANMA-T(config)# ip local pool vpnpool 9.8.0.00-9.8.0.99 mask …0
  第二步:建立IKE第一阶段。
  QUANMA-T(config)# isakmp policy
  QUANMA-T(config-isakmp-policy)# authentication pre-share
  QUANMA-T(config-isakmp-policy)# encryption des
  QUANMA-T(config-isakmp-policy)# hash sha
  QUANMA-T(config-isakmp-policy)# group
  QUANMA-T(config-isakmp-policy)# lifetime 00
  QUANMA-T(config-isakmp-policy)# exit
  第三步:将IKE第一阶段应用在outside接口上面。
  QUANMA-T(config)# isakmp enable outside
  第四步:定义转换集
  QUANMA-T(config)# crypto ipsec transform-set vpnset esp-des esp-sha-hmac
  这里设置的转换集名字为vpnset。
  第五步:动态加密映射配置
  QUANMA-T(config)# crypto dynamic-map outside-dyn-map 0 set transform-set vpnset
  QUANMA-T(config)# crypto dynamic-map outside-dyn-map 0 set reverse-route
  QUANMA-T(config)# crypto dynamic-map outside-dyn-map 0 set security-association lifetime seconds 88000
  第六步:在静态加密映射中调用动态加密映射并应用在接口上面
  QUANMA-T(config)# crypto map outside-map 0 ipsec-isakmp dynamic outside-dyn-map
  QUANMA-T(config)# crypto map outside-map interface outside
  第七步:NAT穿越
  它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP00)
  QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间0秒
  第八步:配置访问列表旁路
  通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
  QUANMA-T(config)# sysopt connection permit-ipsec
  第九步:创建与设置组策略
  组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
  QUANMA-T(config)# group-policy vpnclient internal
  QUANMA-T(config)# group-policy vpnclient attributes
  QUANMA-T(config-group-policy)# dns-server value .9..9
  QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec
  QUANMA-T(config-group-policy)# default-domain value liuty.cn
  QUANMA-T(config-group-policy)# exit
  第十步:遂道组的建立以属性的设置
  QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra
  QUANMA-T(config)# tunnel-group vpnclient ipsec-attributes
  QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco
  QUANMA-T(config-tunnel-ipsec)# exit
  QUANMA-T(config)# tunnel-group vpnclient general-attributes
  QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
  QUANMA-T(config-tunnel-general)# default-group-policy vpnclient
  QUANMA-T(config-tunnel-general)# address-pool vpnpool
  QUANMA-T(config-tunnel-general)# exit
  而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
  第十一步:配置用户账户
  现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:
  QUANMA-T(config)# username liuty password yjtfpddc
  QUANMA-T(config)# username liuty attributes
  QUANMA-T(config-username)# vpn-group-policy vpnclient
  QUANMA-T(config-username)# exit
第十二步:配置NAT免除
  现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
  QUANMA-T(config)# access-list no-nat extended permit ip 9.8.0.0 …0 9.8.0.0 …0
  QUANMA-T(config)# nat (inside) 0 access-list no-nat
  第十三步:遂道分离设置
  QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standard permit 9.8.0.0 …0
  QUANMA-T(config)# group-policy vpnclient attributes
  QUANMA-T(config-group-policy)# split-tunnel-policy tunnelspecified
  QUANMA-T(config-group-policy)# split-tunnel-network-list value vpnclient_splitTunnelAcl
  QUANMA-T(config-group-policy)# end
  第十四步:保存
  QUANMA-T#write memory
  好了,上面设置就差不多了。那么我们现在来用Cisco vpn Client来拨号试试看。
  打开我们“Cisco Systems VPN Client”,界面如下:
  点击“New”来新建一个连接。
  Connection Entry:输入一个名字。这里可以随便输入。
  Host:输入我们VPN服务端的地址。
  在“Gropu Authentication”的“Name”处输入我们组的用户名,“Password与Confirm Password”处输入我们设置组的密码。
  设置好了以后点击“Save”保存。
  当我们新建好了以后在这里就已经有一条我们刚才建立的条目了。
  点击“Connect”来进行连接。
  当我们连接成功以后,就需要我们输入该组下面的用户名与密码。点击“OK”进行连接。
  当我们用户认证成功以后,该窗口就会自动消息,在我们的通知区域会显示一个不上锁的图标。
 这时候点击该小锁图标,我们可以查看当前所连VPN的状态。
在这里我们可以看见,Client所分配到的IP地址为9.8.0.0,而服务端的IP地址为…9,以及加密算法与连接时间,还有一些其他的东西。
  而在Route Details里面可以看见我们通过VPN能够访问到的网段。
 在这里我们可以看见,我们能够访问服务端的9.8.0.0/这个网段里面的资源。
  我们现在打开命令提示符输入“ipconfig /all”我们可以查看当前分配到的IP地址。
  我们现在来ping一下我们企业内部的一台文件服务器看看:
  从上图我们可以看见,我们现在已经ping通了我们内部的文件服务器了。到此为止我们在Cisco ASA防火墙上面配置Remote VPN就已经到此为止了。
  下面附件里面附带有PDF文档与自动配置角本文件,只需修改一下,导入进去就可以用了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注