把你的 配置贴出来 帮你看看 给你发个 例子 你看看 9 w7 I# ^0 k1 \/ L
第一步:建立一个地址池。, m7 S6 D i" h7 ~6 @6 u- W1 _" u( m
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。( x9 p3 n, D- J& Y/ t& \- B v9 a
QUANMA-T(config)# ip local pool vpnpool 192.168.10.100-192.168.10.199 mask 255.255.255.05 W- N B* O& p; U0 y* z7 U
第二步:建立IKE第一阶段。 d2 P$ f A- V' d& W: U/ C
QUANMA-T(config)# isakmp policy 1
' [0 M& w: x; Z! ?; g) ?1 s% q QUANMA-T(config-isakmp-policy)# authentication pre-share
- \1 o" N5 R5 X9 ^! c; P( o. l/ F. {+ U) r QUANMA-T(config-isakmp-policy)# encryption 3des" t; z9 }" i! b, D
QUANMA-T(config-isakmp-policy)# hash sha: t0 }3 E7 H3 ]2 j- d) {# P5 t
QUANMA-T(config-isakmp-policy)# group 2
+ ^$ R; R- K" s9 R7 o* w t QUANMA-T(config-isakmp-policy)# lifetime 432005 }5 T8 _+ O3 K$ J2 F4 Y
QUANMA-T(config-isakmp-policy)# exit7 [& l7 B7 [; f
第三步:将IKE第一阶段应用在outside接口上面。
- A" x, r9 p# ~* W: A) H# N: N QUANMA-T(config)# isakmp enable outside5 V! t1 T$ T& x' h2 K1 S. t
第四步:定义转换集! W; q( O4 o9 E& e) E7 \
QUANMA-T(config)# crypto ipsec transform-set vpnset esp-3des esp-sha-hmac- k) ?# x; A: ]* S' {" T: }2 H
这里设置的转换集名字为vpnset。" |3 E: [& ^& s" I& B5 `& s
第五步:动态加密映射配置
1 \& {8 h @+ {3 [! C6 \0 h QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set transform-set vpnset. L% U/ V) A2 _: U
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set reverse-route) ?& ~1 K$ {3 [' V/ v+ g1 l0 w
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
% w2 e, \0 W7 J! k" j/ K 第六步:在静态加密映射中调用动态加密映射并应用在接口上面+ R6 a" V1 ^7 }2 i7 a+ W* L
QUANMA-T(config)# crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
2 ]' l$ }0 x( v1 @ QUANMA-T(config)# crypto map outside-map interface outside& v7 C- X% l# h+ m# H
第七步:NAT穿越# p: V/ N% N$ \. q) y% l- N
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)4 U0 y* E& T0 {' d0 l* J
QUANMA-T(config)# crypto isakmp nat-traversal 20 //缺省keepalives时间20秒+ l) n& Y6 l2 y, B/ n& t- j! ^
第八步:配置访问列表旁路) O, N' D9 y& K, S3 T
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
9 i) Y, U: E) c; g QUANMA-T(config)# sysopt connection permit-ipsec, Z% T. g1 L% g+ N; m* [- \
第九步:创建与设置组策略9 {, A" I. K( x' j0 R% H: X
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
- B0 M$ J& E, B+ H: n QUANMA-T(config)# group-policy vpnclient internal% S! y. r* e! G2 j7 m9 W
QUANMA-T(config)# group-policy vpnclient attributes E, _, p8 m- o0 |, M+ y& H+ s
QUANMA-T(config-group-policy)# dns-server value 61.139.2.69
c% j$ \# r5 u QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec& O7 {- D) L1 \0 ^8 A$ m
QUANMA-T(config-group-policy)# default-domain value liuty.cn
* X6 I/ p- }/ I: P* ^+ X3 D QUANMA-T(config-group-policy)# exit5 t4 C; [8 @0 n4 X x
第十步:遂道组的建立以属性的设置- T, v- @. M0 K6 s* Z
QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra3 r# u+ O; N" C9 b( P% F
QUANMA-T(config)# tunnel-group vpnclient ipsec-attributes$ V: V; `2 ~* F' B% G
QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123) ~. }5 {( s+ o2 `" h
QUANMA-T(config-tunnel-ipsec)# exit
3 M6 j4 h5 P% p# A QUANMA-T(config)# tunnel-group vpnclient general-attributes
" z( {4 R- A2 `- D6 a QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
/ z7 X, n" Z% r" M2 g QUANMA-T(config-tunnel-general)# default-group-policy vpnclient3 Z" z6 p5 G, o* p9 H
QUANMA-T(config-tunnel-general)# address-pool vpnpool
; r; f8 c9 t+ c, J# f* p; n QUANMA-T(config-tunnel-general)# exit& H! T- U& K$ u9 P# a, \
而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。6 G8 `- U% W0 K& @! j# |
第十一步:配置用户账户# U- A. h& M+ A& s: t3 F0 \
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:
6 x* D3 R3 {+ o3 m QUANMA-T(config)# username liuty password yjtfpddc
. l8 \2 v7 M2 u- V QUANMA-T(config)# username liuty attributes! _: n- B4 j) W% ]
QUANMA-T(config-username)# vpn-group-policy vpnclient
6 `) T7 N* \# f* @, k QUANMA-T(config-username)# exit% x0 O5 C( X) z
第十二步:配置NAT免除0 }% t% k g7 ?' j
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:8 K! j* X0 |6 L0 X: O8 F# y
QUANMA-T(config)# access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.02 \% u% \. `1 O$ l0 @: q$ X
QUANMA-T(config)# nat (inside) 0 access-list no-nat# m2 H" ~7 J- w2 S) G/ u+ Y
第十三步:遂道分离设置
1 ^4 y7 R" |: W9 ^ QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
# F# ~! f" z: _3 {3 D. { QUANMA-T(config)# group-policy vpnclient attributes- Q$ Q" Y- A3 ~7 n# F* Q
QUANMA-T(config-group-policy)# split-tunnel-policy tunnelspecified
7 f* D [0 k- Y4 I- Z QUANMA-T(config-group-policy)# split-tunnel-network-list value vpnclient_splitTunnelAcl
0 [0 U5 L5 _8 ^0 C3 Z5 q" ~ QUANMA-T(config-group-policy)# end
; r* v" K2 i( k# X/ l1 ? 第十四步:保存
8 Z4 w; ~. F+ f: J QUANMA-T#write memory |
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
