Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访
前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了。
该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,可以参考以下博文(路由器和防火墙的虚拟专用网原理类似,可参考):
- Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题)
- Cisco路由器之IPSec 虚拟专用网
1、网络环境如下:
2、环境分析:
(1)在公司网关ASA防火墙上配置虚拟专用网,客户端(出差人员)可以连接到虚拟专用网,并访问内网提供的DNS服务及HTTP(www.lvjianzhao.com ) 服务(使用该域名访问,内网中的DNS负责解析该域名),为了简化环境,所以将内网的服务集成到一台服务器上了。
(2)客户端连接到虚拟专用网后,还可以使用Internet的DNS及HTTP服务,模拟www.baidu.com 网站服务,并使用Internet上的服务器提供的DNS服务解析该域名。
(3)自行配置正确的路由器接口及各个服务器的IP、网关、路由(服务器配置相应的网关,ASA防火墙只需配置接口IP及一条默认路由指向R1路由器即可,R1路由器除了接口IP以外什么都不要配置,尤其是路由表,否则可能测试不出来虚拟专用网的效果)。
(4)客户端需要安装Cisco提供的客户端软件进行连接。
3、配置前准备:
(1)下载客户端使用的软件,并安装在客户端,用来连接虚拟专用网。(我这里提供的是windows 7的client安装包,如果客户端是Windows 10,请参考博文:Windows 10 安装虚拟专用网client端)。
(2)自行配置路由器接口IP地址及路由(这些基础配置命令就不展示了,我之前的博文有写到过,或者自行百度吧)。。
(3)自行配置各个服务器及客户端的IP及网关。
(4)自行在相关服务器上搭建HTTP服务及DNS服务(这两个服务不是这篇博客想要介绍的,我这里简单搭了一个,我之前的博文有搭相关服务的,可以自行查看)。
4、开始配置:
配置举例:
ASA-1(config-if)# route outside 0 0 200.0.0.2 #配置ASA防火墙配置去往外网的路由#以下是配置接口区域及IP地址,并开启接口ciscoasa(config-if)# in e0/1ciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0ciscoasa(config-if)# no sh当所有基础配置(接口IP地址、路由、网关)配置完毕后,即可进行以下虚拟专用网的配置。
(1)公司网关ASA防火墙置如下:
ASA-1(config)# username lvjianzhao password 2019.com #配置客户端连接使用的用户名/密码ASA-1(config)# crypto isakmp enable outside #outside接口开启 isakmp#以下是配置"阶段1--管理连接:"ASA-1(config)# crypto isakmp policy 10ASA-1(config-isakmp-policy)# encryption 3des ASA-1(config-isakmp-policy)# hash shaASA-1(config-isakmp-policy)# authentication pre-share ASA-1(config-isakmp-policy)# group 2ASA-1(config-isakmp-policy)# exit#接下来"配置阶段1.5",就是需要在管理连接后建立成功后,推送给客户端的配置了。#以下是配置一个地址池,池中的地址是向客户端分发的,#地址池的网段地址,不可以和内网使用同一网段,否则将会影响最终通信ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210#以下是定义一个命名的ACL,这个ACL是推送给客户端使用的,只有ACL允许的源地址是可以被客户端访问的。//这个ACL是允许192.168.0.0去往任何地址,当推送到客户端时,就会反过来。#变成了允许任何IP地址访问192.168.0.0。因为这里的源地址是站在路由器的角度的。ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any#以下是创建用户组, internal 表示策略定义在本地,可以改为external表示策略定义AAA服务器ASA-1(config)# group-policy test-group internal ASA-1(config)# group-policy test-group attributes #配置用户组的属性ASA-1(config-group-policy)# dns-server value 192.168.0.1 #指定分发给客户端的DNS地址ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified #关于上面的"split-tunnel-policy"后面可以接三种类型的规则,如下:#tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;#tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;#excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项。ASA-1(config-group-policy)# split-tunnel-network-list value split-acl #引用之前创建的ACLASA-1(config-group-policy)# exitASA-1(config)# tunnel-group test-group type ipsec-ra #指定组的类型是ipsec-ra(远程访问)ASA-1(config)# tunnel-group test-group general-attributes #配置属性ASA-1(config-tunnel-general)# address-pool test-pool #引用刚才定义的"地址池"ASA-1(config-tunnel-general)# default-group-policy test-group #调用组策略ASA-1(config-tunnel-general)# exit#配置传输集用户名及共享密钥ASA-1(config)# tunnel-group test-group ipsec-attributes ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123ASA-1(config-tunnel-ipsec)# exit#下面是配置"阶段2--数据连接"ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set #配置动态mapASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap #将动态map引入静态mapASA-1(config)# crypto map test-stamap int outside #应用到外网接口,也就是outside口公司网关ASA防火墙关于虚拟专用网的配置已经完成了,现在使用客户端安装专用软件,连接虚拟专用网,并测试访问即可。
(2)客户端配置如下:
将我提供的压缩包解压后安装虚拟专用网的客户端软件:
还需要再次解压,选择解压到哪里:
解压后,会弹出下面的安装向导,如下,选择安装语言:
基本上就是无脑下一步了,自己看吧!
选择安装路径:
等待安装完成即可!
安装完成后,可以通过以下来找到client软件:
单击打开client:
添加一个连接:
填写具体信息:
连接虚拟专用网:
弹出以下对话框后,填写在网关设备上创建的用户及密码:
连接成功后,可以查看我们客户端的网络适配器有什么变化。
使用客户端分别访问www.lvjianzhao.com 及 www.baidu.com 即可验证公司内网及Internet上的http服务和DNS服务
至此,效果实现,客户端既可以访问公司内网的服务,也可以访问Internet的服务,OK,齐活。
-------- 本文至此结束,感谢阅读 --------
