CiscoASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛-創(chuàng)新互聯(lián)

在Cisco ASA防火墻上配置遠(yuǎn)程訪問虛擬專用網(wǎng)(Easy 虛擬專用網(wǎng))原理和路由器一樣,對(duì)Easy 虛擬專用網(wǎng)原理不清楚的朋友可以參考博文Cisco路由器實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛擬專用網(wǎng)(解決出差員工訪問內(nèi)網(wǎng)的問題) 在路由器上配置和在防火墻上配置終歸還是會(huì)區(qū)別的。這里就直接開始配置了,不再詳細(xì)的介紹了!

創(chuàng)新互聯(lián)公司是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),網(wǎng)站空間、主機(jī)租用、主機(jī)托管,四川、重慶、廣東電信服務(wù)器租用,德陽服務(wù)器托管,成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國(guó)大陸、港澳臺(tái)以及歐美等多個(gè)國(guó)家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

在防火墻上實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)技術(shù)可以參考博文Cisco ASA防火墻實(shí)現(xiàn)IPSec 虛擬專用網(wǎng),可跟做?。?!

一、案例環(huán)境

Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
由于模擬器的原因,導(dǎo)致防火墻不能和終端設(shè)備相連,所以中間放了一個(gè)交換機(jī)!

二、案例需求

(1)用戶通過Easy 虛擬專用網(wǎng)通過域名(www.yinuo.com) 訪問內(nèi)部的網(wǎng)站;
(2)用戶通過域名(www.xiaojiang.com) 正常訪問公網(wǎng)上的網(wǎng)站;
(3)用戶根據(jù)拓補(bǔ)圖的要求,自行配置IP地址及相應(yīng)的服務(wù);

三、案例實(shí)施

(1)網(wǎng)關(guān)ASA防火墻的配置:
ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址,并設(shè)置默認(rèn)網(wǎng)關(guān)
ASA(config)# username lvzhenjiang password jianjian
//防護(hù)墻默認(rèn)已經(jīng)啟用AAA,而且是通過本地驗(yàn)證,所以直接設(shè)置用戶名和密碼即可
ASA(config)# crypto isakmp enable outside             //啟用ISAKMP/IKE協(xié)議
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

階段1配置完成!

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池,向虛擬專用網(wǎng)客戶端分發(fā)IP地址(不可和內(nèi)網(wǎng)的IP地址為同一網(wǎng)段)
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定義一個(gè)命名的ACL用于允許192.168.1.0去往任何地址,當(dāng)推送到客戶端時(shí),就會(huì)反過來
//變成了允許任何IP地址訪問192.168.1.0。因?yàn)檫@里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定義策略并放置在本地(external表示定義在別的AAA服務(wù)器上)
ASA(config)# group-policy lv-group attributes               //定義用戶組的屬性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定義發(fā)布給客戶端的DNS服務(wù)器地址
ASA(config-group-policy)# address-pool value lv-pool
//調(diào)用剛才定義的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//關(guān)于上面的“split-tunnel-policy”后面可以接三種類型的規(guī)則,如下:
* tunnelspecified表示所有匹配的流量走隧道,我這里選擇的就是這個(gè);
* tunnelall:所有流量必須走隧道,即不做分離隧道,這是默認(rèn)設(shè)置,一般不使用該選項(xiàng);
* excludespecified:所有不匹配ACL的流量走隧道,不推薦使用此選項(xiàng);
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//調(diào)用剛才定義的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道組的類型是遠(yuǎn)程訪問  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道組的屬性
ASA(config-tunnel-general)# address-pool lv-pool                //調(diào)用剛才定義的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //調(diào)用用戶組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定義隧道組名稱
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定義隧道組密碼
ASA(config-tunnel-ipsec)# exit

階段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定義傳輸集名稱,及加密驗(yàn)證的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定義動(dòng)態(tài)map名稱為lv-dymap,優(yōu)先級(jí)為1,并調(diào)用剛才定義的傳輸集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定義靜態(tài)map,優(yōu)先級(jí)為1000 ,調(diào)用動(dòng)態(tài)map
ASA(config)# crypto map lv-stamap int outside
//將靜態(tài)map應(yīng)用到網(wǎng)關(guān)連接外網(wǎng)的接口上

階段2配置完成
(2)客戶端用于測(cè)試

這里使用windows 7客戶端工具 進(jìn)行測(cè)試!如果使用windows 10系統(tǒng)的朋友,安裝客戶端工具時(shí),會(huì)相對(duì)麻煩一些,可以參考博文Windows 10系統(tǒng)安裝虛擬專用網(wǎng)客戶端工具

Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
接下來無腦下一步即可!安裝完成之后
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
連接成功后,查看生成的虛擬專用網(wǎng)的IP地址
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
訪問公司內(nèi)部、公網(wǎng)的服務(wù)器測(cè)試訪問!
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
Cisco ASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛
訪問成功!

———————— 本文至此結(jié)束,感謝閱讀 ————————

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

文章名稱:CiscoASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于:http://muchs.cn/article48/dpieep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站電子商務(wù)、網(wǎng)站制作App設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司、商城網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)