ASA5510防火墻VPN配置方式_第1頁
ASA5510防火墻VPN配置方式_第2頁
ASA5510防火墻VPN配置方式_第3頁
ASA5510防火墻VPN配置方式_第4頁
ASA5510防火墻VPN配置方式_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

ASA5510防火墻remoteipsecvpn配置

1、IPSEC

VPN基本配置access-listno-natextendedpermitip

//定義VPN數(shù)據(jù)流nat(inside)0access-listno-nat

//設(shè)置IPSECVPN數(shù)據(jù)不作nat翻譯

iplocalpoolvpn-pool-00mask

//劃分地址池,用于VPN用戶撥入之后分配的地址。

cryptoipsectransform-setvpnsetesp-desesp-md5-hmac

//定義一個變換集myset,用esp-md5加密的。(網(wǎng)上一般都是用esp-3desesp-sha-hmac或esp-des

esp-sha-hmac,而我使用的防火墻沒開啟3des,所以只能使用esp-des;至于esp-sha-hmac,不知為什么,使用它隧道組始終無法連接上,所以改用esp-md5-hmac。具體原因不清楚。)(補(bǔ)充:后來利用ASA5520防火墻做了關(guān)于esp-3desesp-sha-hmac加密的測試,成功!)cryptodynamic-mapdymap10settransform-setvpnset

//把vpnset添加到動態(tài)加密策略dynmapcryptodynamic-mapdymap10setreverse-routecryptomapvpnmap10ipsec-isakmpdynamicdymap

//把動態(tài)加密策略綁定到vpnmap動態(tài)加密圖上cryptomapvpnmapinterfaceoutside

//把動態(tài)加密圖vpnmap綁定到outside口

address-poolvpn-pool

//將VPNclient地址池綁定到"whjt"隧道組

usernametestpasswordtest

//設(shè)定用戶名和密碼

authentication-server-group(outside)LOCAL

//本地認(rèn)證服務(wù)組(本條命令沒用)

default-group-policywhjt

//默認(rèn)策略組為whjttunnel-groupwhjtipsec-attributes

//定義whjt組IPSec的屬性

pre-shared-key730211

//定義共享密鑰為:730211isakmpnat-traversal20

//每20秒向VPN對端發(fā)送一個包來防止中間PAT設(shè)備的PAT超時,就相當(dāng)于路由器中的isakmpkeepalivethreshold20retry2

在生存時間監(jiān)控前,設(shè)備被允許空閑20秒,發(fā)現(xiàn)生存時間沒有響應(yīng)后,2秒鐘內(nèi)重試sysoptconnectionpermit-vpn//通過使用sysoptconnect命令,我們告訴ASA準(zhǔn)許SSL/IPsec客戶端繞過接口的訪問列表(未加此命令會出現(xiàn)可以ping能內(nèi)網(wǎng)地址,但不能訪問內(nèi)網(wǎng)服務(wù),比如23、80等端口。)

2、開啟隧道分離access-listvpnsplitstandardpermit

//注意源地址為ASA的inside網(wǎng)絡(luò)地址group-policywhjtattributes

//定義策略組屬性split-tunnel-policytunnelspecified

//建立隧道分離策略為tunnelspecified

split-tunnel-network-listvaluevpnsplit

//與vpnsplit匹配的網(wǎng)絡(luò)將全部使用隧道分離

注1:如要實現(xiàn)VPN用戶可以ping通ASA的inside口,即可以防火墻中加入如下命令:

management-accessinside

注2:如果遠(yuǎn)程用戶上互聯(lián)網(wǎng)是通過nat方式上網(wǎng)(所有寬帶用戶都通過同一個公網(wǎng)IP訪問外部),那么通過如下命令可穿越natcryptoisakmpnat-traversal

20//缺省keepalives時間20秒

3、客戶端的配置

我使用的客戶端是cisco

VPNClient

5.0,配置如下圖,Host:ASA外網(wǎng)口IP,組賬號:whjt

密碼:730211

配置好后,連接VPN,會彈出下面對話框,輸入遠(yuǎn)程用戶的用戶名和密碼,上例均為test

4、ASA5510完全配置test#shrun

:Saved

:

ASAVersion8.0(2)

!

hostnametest

domain-name

enablepassword2KFQnbNIdI.2KYOUencrypted

names

!

interfaceEthernet0/0

nameifoutside

security-level0

ipaddress

!

interfaceEthernet0/1

nameifinside

security-level100

ipaddress

!

interfaceEthernet0/2

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet0/3

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceManagement0/0

shutdown

nonameif

nosecurity-level

noipaddress

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

dnsserver-groupDefaultDNS

domain-name

access-list101extendedpermiticmpanyany

access-listno-natextendedpermitip

access-listvpnsplitstandardpermit

pagerlines24

mtuoutside1500

mtuinside1500

iplocalpoolvpn-pool-00mask

icmpunreachablerate-limit1burst-size1

noasdmhistoryenable

arptimeout14400

global(outside)100netmask

nat(inside)0access-listno-nat

nat(inside)1

access-group101ininterfaceoutside

routeoutside71

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02

timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00

timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00

timeoutuauth0:05:00absolute

dynamic-access-policy-recordDfltAccessPolicy

http55inside

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

cryptoipsectransform-setvpnsetesp-desesp-md5-hmac

cryptodynamic-mapdymap10settransform-setvpnset

cryptodynamic-mapdymap10setreverse-route

cryptomapvpnmap10ipsec-isakmpdynamicdymap

cryptomapvpnmapinterfaceoutside

cryptoisakmpidentityaddress

cryptoisakmpenableoutside

cryptoisakmpenableinside

cryptoisakmppolicy10

authenticationpre-share

encryptiondes

hashmd5

group2

lifetime86400

telnetinside

telnettimeout5

sshoutside

sshinside

sshtimeout60

sshversion1

consoletimeout0management-accessinside

threat-detectionbasic-threat

threat-detectionstatisticsaccess-list

!

!

group-policywhjtinternal

group-policywhjtattributes

vpn-idle-timeout

1800

//我在實際中一般用3600000,時間長些不易掉線

split-tunnel-policytunnelspecified

split-tunnel-network-listvaluevpnsplit

usernametestpasswordP4ttSyrm33SV8TYpencrypted

tunnel-groupwhjttyperemote-access

tunnel-group

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論