Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）

2019-11-07 21:55:05 阅读：327 来源： 互联网

标签：专用网 group lv 访问 ASA 虚拟 policy config

在Cisco ASA防火墙上配置远程访问虚拟专用网（Easy 虚拟专用网）原理和路由器一样，对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）在路由器上配置和在防火墙上配置终归还是会区别的。这里就直接开始配置了，不再详细的介绍了！

在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网，可跟做！！！

一、案例环境

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）
由于模拟器的原因，导致防火墙不能和终端设备相连，所以中间放了一个交换机！

二、案例需求

（1）用户通过Easy 虚拟专用网通过域名（www.yinuo.com）访问内部的网站；
（2）用户通过域名（www.xiaojiang.com）正常访问公网上的网站；
（3）用户根据拓补图的要求，自行配置IP地址及相应的服务；

三、案例实施

（1）网关ASA防火墙的配置：

ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址，并设置默认网关
ASA(config)# username lvzhenjiang password jianjian
//防护墙默认已经启用AAA，而且是通过本地验证，所以直接设置用户名和密码即可
ASA(config)# crypto isakmp enable outside             //启用ISAKMP/IKE协议
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

阶段1配置完成！

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池，向虚拟专用网客户端分发IP地址（不可和内网的IP地址为同一网段）
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定义一个命名的ACL用于允许192.168.1.0去往任何地址，当推送到客户端时，就会反过来
//变成了允许任何IP地址访问192.168.1.0。因为这里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定义策略并放置在本地（external表示定义在别的AAA服务器上）
ASA(config)# group-policy lv-group attributes               //定义用户组的属性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定义发布给客户端的DNS服务器地址
ASA(config-group-policy)# address-pool value lv-pool
//调用刚才定义的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//关于上面的“split-tunnel-policy”后面可以接三种类型的规则，如下：
* tunnelspecified表示所有匹配的流量走隧道，我这里选择的就是这个；
* tunnelall：所有流量必须走隧道，即不做分离隧道，这是默认设置，一般不使用该选项；
* excludespecified：所有不匹配ACL的流量走隧道，不推荐使用此选项；
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//调用刚才定义的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道组的类型是远程访问  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道组的属性
ASA(config-tunnel-general)# address-pool lv-pool                //调用刚才定义的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //调用用户组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定义隧道组名称
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定义隧道组密码
ASA(config-tunnel-ipsec)# exit

阶段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定义传输集名称，及加密验证的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定义动态map名称为lv-dymap，优先级为1，并调用刚才定义的传输集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定义静态map，优先级为1000 ，调用动态map
ASA(config)# crypto map lv-stamap int outside
//将静态map应用到网关连接外网的接口上

阶段2配置完成

（2）客户端用于测试

这里使用windows 7系统进行测试！如果使用windows 10系统的朋友，安装客户端工具时，会相对麻烦一些，可以参考博文Windows 10系统安装虚拟专用网客户端工具

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）

接下来无脑下一步即可！安装完成之后

连接成功后，查看生成的虚拟专用网的IP地址

访问公司内部、公网的服务器测试访问！

访问成功！

———————— 本文至此结束，感谢阅读 ————————

标签：专用网,group,lv,访问,ASA,虚拟,policy,config
来源： https://blog.51cto.com/14157628/2448611