Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚

在Cisco ASA防火墙上配置远程访问虚拟专用网（Easy 虚拟专用网）原理和路由器一样，对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网（解决出差员工访问内网的问题） 在路由器上配置和在防火墙上配置终归还是会区别的。这里就直接开始配置了，不再详细的介绍了！

在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网，可跟做！！！

一、案例环境

由于模拟器的原因，导致防火墙不能和终端设备相连，所以中间放了一个交换机！

二、案例需求

（1）用户通过Easy 虚拟专用网通过域名（www.yinuo.com） 访问内部的网站；
（2）用户通过域名（www.xiaojiang.com） 正常访问公网上的网站；
（3）用户根据拓补图的要求，自行配置IP地址及相应的服务；

三、案例实施

（1）网关ASA防火墙的配置：

ASA(config)# int e0/0 ASA(config-if)# nameif insideASA(config-if)# ip add 192.168.1.1 255.255.255.0ASA(config-if)# no shASA(config-if)# int e0/1ASA(config-if)# nameif outsideASA(config-if)# ip add 100.1.1.1 255.255.255.0ASA(config-if)# no shASA(config-if)# exitASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址，并设置默认网关ASA(config)# username lvzhenjiang password jianjian//防护墙默认已经启用AAA，而且是通过本地验证，所以直接设置用户名和密码即可ASA(config)# crypto isakmp enable outside             //启用ISAKMP/IKE协议ASA(config)# crypto isakmp policy 10ASA(config-isakmp-policy)# encryption 3desASA(config-isakmp-policy)# hash shaASA(config-isakmp-policy)# authentication pre-share ASA(config-isakmp-policy)# group 2ASA(config-isakmp-policy)# exit阶段1配置完成！ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50//配置地址池，向虚拟专用网客户端分发IP地址（不可和内网的IP地址为同一网段）ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any//定义一个命名的ACL用于允许192.168.1.0去往任何地址，当推送到客户端时，就会反过来//变成了允许任何IP地址访问192.168.1.0。因为这里的源地址是站在路由器的角度的ASA(config)# group-policy lv-group internal//定义策略并放置在本地（external表示定义在别的AAA服务器上）ASA(config)# group-policy lv-group attributes               //定义用户组的属性ASA(config-group-policy)# dns-server value 192.168.1.100//定义发布给客户端的DNS服务器地址ASA(config-group-policy)# address-pool value lv-pool//调用刚才定义的地址池ASA(config-group-policy)# split-tunnel-policy tunnelspecified //关于上面的"split-tunnel-policy"后面可以接三种类型的规则，如下：* tunnelspecified表示所有匹配的流量走隧道，我这里选择的就是这个；* tunnelall：所有流量必须走隧道，即不做分离隧道，这是默认设置，一般不使用该选项；* excludespecified：所有不匹配ACL的流量走隧道，不推荐使用此选项；ASA(config-group-policy)# split-tunnel-network-list value lv-acl//调用刚才定义的ACLASA(config-group-policy)# exitASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道组的类型是远程访问  ASA(config)# tunnel-group lv-group general-attributes          //配置隧道组的属性ASA(config-tunnel-general)# address-pool lv-pool                //调用刚才定义的地址池ASA(config-tunnel-general)# default-group-policy lv-group        //调用用户组策略ASA(config-tunnel-general)# exitASA(config)# tunnel-group lv-group ipsec-attributes                  //定义隧道组名称ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定义隧道组密码ASA(config-tunnel-ipsec)# exit阶段1.5配置完成ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             //定义传输集名称，及加密验证的方式ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set//定义动态map名称为lv-dymap，优先级为1，并调用刚才定义的传输集ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap//定义静态map，优先级为1000 ，调用动态mapASA(config)# crypto map lv-stamap int outside//将静态map应用到网关连接外网的接口上阶段2配置完成

（2）客户端用于测试

这里使用windows 7客户端工具 进行测试！如果使用windows 10系统的朋友，安装客户端工具时，会相对麻烦一些，可以参考博文Windows 10系统安装虚拟专用网客户端工具

接下来无脑下一步即可！安装完成之后





连接成功后，查看生成的虚拟专用网的IP地址


访问公司内部、公网的服务器测试访问！


访问成功！

-------- 本文至此结束，感谢阅读 --------