ASA配置×××代理

某单位在国外有×××远程接入站点，使用的是ASA，配置的是EASY ×××。为方便单位国内用户查阅某些国外站点，需要通过接入远程×××后进行访问。说白了就是”fan墙”

原理很简单，就是将需要代理的流量引入到×××隧道中去（本例中为方便起见使用的 split-tunnel-policy tunnelall选项，实际中可以使用 split-tunnel-policy tunnelspecified并指定需要引导流量的ACL）

拓扑

此配置基于ASA 8.2版本，基础配置和easy ***配置不详细解释了，网上很多

1.基础配置

配置接口

interface GigabitEthernet0/0    
nameif internet    
security-level 0    
ip address x.x.x.x 255.255.255.224

interface GigabitEthernet0/2    
nameif inside    
security-level 100    
ip address 10.11.254.17 255.255.255.240

配置路由

route internet 0.0.0.0 0.0.0.0 x.x.x.x    
route inside 10.11.1.0 255.255.255.0 10.11.254.30

配置NAT

access-list to-internet extended permit ip 10.11.1.0 255.255.255.0 any

nat (inside) 1 access-list to-internet    
global (internet) 1 interface

2.EASY ×××配置

IKE一阶段策略

crypto isakmp policy 10    
authentication pre-share    
encryption 3des    
hash md5    
group 2

IKE二阶段策略  
crypto ipsec transform-set ***.tran esp-3des esp-sha-hmac

动态map  
crypto dynamic-map ***.dymap 10 set transform-set ***.tran

调用map  
crypto map ***.map 10 ipsec-isakmp dynamic ***.dymap

将map应用到接口  
crypto map ***.map interface internet

不要忘记启用isakmp  
crypto isakmp enable internet

定义×××客户端地址池

ip local pool ez***.pool 10.11.10.1-10.11.10.254 mask 255.255.255.0

定义tunnel-group

tunnel-group proxy.*** type remote-access    
tunnel-group proxy.*** general-attributes    
address-pool ez***.pool    
default-group-policy proxy.***.policy

定义group-policy

group-policy proxy.***.policy internal    
group-policy proxy.***.policy attributes      
***-tunnel-protocol IPSec      
password-storage enable

配置nat旁路，用于***客户端正常发访问远程内部网络

access-list bypass extended permit ip 10.11.0.0 255.255.0.0 10.0.0.0 255.0.0.0

nat (inside) 0 access-list bypass

3.隧道代理配置

same-security-traffic permit intra-interface     //由于会话需要从internet接口流进并流出，对于ASA来说默认不允许，需要手动修改

nat (internet) 1 10.11.10.0 255.255.255.0     //***客户端地址段需要在internet接口上nat成合法地址，注意此段地址需要定义在外部接口（internet）上，因为源地址是指抵达外接口的解封后的源地址，即由ip local pool定义的分配给***客户端的地址

group-policy proxy.***.policy attributes      //修改ez***组策略属性
dns-server value 8.8.8.8                              //为×××客户端指定DNS，最好是国外的      
split-tunnel-policy tunnelall                 //将所有与流量引入到×××隧道，本例中为方便起见使用的 split-tunnel-policy tunnelall选项，实际中可以使用 split-tunnel-policy tunnelspecified并指定需要引导流量的ACL

转载于:https://blog.51cto.com/19055/1357748