收藏
下载资源 加入VIP,省得不是一点点

ASA5510防火墙VPN配置.doc

上传人:11****ws 文档编号:2329802 上传时间:2019-05-06 格式:DOC 页数:13 大小:104.50KB
下载 相关 举报
ASA5510防火墙VPN配置.doc_第1页
第1页 / 共13页
ASA5510防火墙VPN配置.doc_第2页
第2页 / 共13页
ASA5510防火墙VPN配置.doc_第3页
第3页 / 共13页
ASA5510防火墙VPN配置.doc_第4页
第4页 / 共13页
ASA5510防火墙VPN配置.doc_第5页
第5页 / 共13页
点击查看更多>>
资源描述

1、ASA5510 防火墙 remote ipsec vpn 配置 1、IPSEC VPN 基本配置access-list no-nat extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0 /定义 VPN数据流nat (inside) 0 access-list no-nat/设置 IPSEC VPN数据不作 nat翻译ip local pool vpn-pool 172.16.100.1-172.16.100.100 mask 255.255.255.0/划分地址池,用于 VPN用户拨入之后分配的地址

2、。crypto ipsec transform-set vpnset esp-des esp-md5-hmac /定义一个变换集 myset,用 esp-md5加密的。(网上一般都是用 esp-3des esp-sha-hmac 或 esp-des esp-sha-hmac,而我使用的防火墙没开启 3des,所以只能使用 esp-des;至于 esp-sha-hmac ,不知为什么,使用它隧道组始终无法连接上,所以改用 esp-md5-hmac。具体原因不清楚。) (补充:后来利用 ASA5520防火墙做了关于 esp-3des esp-sha-hmac 加密的测试,成功!)crypto dy

3、namic-map dymap 10 set transform-set vpnset/把 vpnset添加到动态加密策略 dynmapcrypto dynamic-map dymap 10 set reverse-routecrypto map vpnmap 10 ipsec-isakmp dynamic dymap/把动态加密策略绑定到 vpnmap动态加密图上crypto map vpnmap interface outside/把动态加密图 vpnmap绑定到 outside口crypto isakmp identity address crypto isakmp enable out

4、side/ outside接口启用 isakmpcrypto isakmp policy 10/进入 isakmp的策略定义模式authentication pre-share/使用 pre-shared key进行认证encryption des/定义协商用 DES加密算法(与前面对应,这里使用 des,而不是 3des)hash md5/定义协商用 md5加密算法(和前面一样,网上使用的是 sha,我这里为了配合前面的 esp-md5-hmac,而使用 md5)group 2/定义协商组为 2,标准有 1、2、3、5 等多组,主要用于块的大小和生命时间等lifetime 86400/定义生

5、命时间group-policy whjt internal/定义策略组(用于想进入的)想要运用策略组就必须用默认的策略组名,否则无法激活该组。group-policy whjt attributes/定义策略组属性vpn-idle-timeout 1800/设置 VPN超时时间为 1800秒tunnel-group whjt type ipsec-ra/建立 VPN 远程登入(即使用隧道分离)组tunnel-group whjt general-attributes/定义隧道组“whjt“属性address-pool vpn-pool/将 VPN client地址池绑定到“whjt“隧道组us

6、ername test password test/设定用户名和密码authentication-server-group (outside) LOCAL/本地认证服务组(本条命令没用)default-group-policy whjt/默认策略组为 whjttunnel-group whjt ipsec-attributes/定义 whjt组 IPSec的属性pre-shared-key 730211/定义共享密钥为:730211isakmp nat-traversal 20/每 20秒向 VPN对端发送一个包来防止中间 PAT设备的 PAT超时,就相当于路由器中的isakmp keepal

7、ive threshold 20 retry 2 在生存时间监控前,设备被允许空闲 20秒,发现生存时间没有响应后,2 秒钟内重试sysopt connection permit-vpn/通过使用 sysopt connect命令,我们告诉 ASA准许 SSL/IPsec客户端绕过接口的访问列表(未加此命令会出现可以ping能内网地址,但不能访问内网服务,比如 23、80 等端口。)2、开启隧道分离access-list vpnsplit standard permit 192.168.222.0 255.255.255.0/注意源地址为 ASA的 inside网络地址group-policy

8、 whjt attributes/定义策略组属性split-tunnel-policy tunnelspecified/建立隧道分离策略为 tunnelspecifiedsplit-tunnel-network-list value vpnsplit/与 vpnsplit匹配的网络将全部使用隧道分离注 1:如要实现 VPN用户可以 ping通 ASA的 inside口,即 192.168.222.1可以防火墙中加入如下命令: management-access inside注 2:如果远程用户上互联网是通过 nat方式上网(所有宽带用户都通过同一个公网 IP访问外部),那么通过如下命令可穿越

9、natcrypto isakmp nat-traversal 20 /缺省 keepalives时间 20秒3、客户端的配置我使用的客户端是 cisco VPN Client 5.0,配置如下图,Host:ASA 外网口 IP,组账号:whjt 密码:730211配置好后,连接 VPN,会弹出下面对话框,输入远程用户的用户名和密码,上例均为 test4、ASA5510 完全配置test# sh run: Saved:ASA Version 8.0(2) !hostname testdomain-name enable password 2KFQnbNIdI.2KYOU encryptednam

10、es!interface Ethernet0/0nameif outsidesecurity-level 0ip address 10.65.222.1 255.255.128.0 !interface Ethernet0/1nameif insidesecurity-level 100ip address 192.168.222.1 255.255.255.0 !interface Ethernet0/2shutdownno nameifno security-levelno ip address!interface Ethernet0/3shutdownno nameifno securi

11、ty-levelno ip address!interface Management0/0shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name access-list 101 extended permit icmp any any access-list no-nat extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0 access-list vpnsplit standard permit 192.168.222.0 255.255.255.0 pager lines 24mtu outside 1500

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 策划方案

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。