ASA remote ××× 实战

最新推荐文章于 2024-10-09 20:03:23 发布

weixin_34331102

最新推荐文章于 2024-10-09 20:03:23 发布

阅读量123

点赞数

文章标签：运维

原文链接：http://blog.51cto.com/shitou888/381252

版权

拓扑如下图：

配置步骤如下：

1、首先建立一个地址池，远程访问客户端需要在登录期间分配一个IP地址，所以我们还需要为这些客户端建立一个DHCP地址池。

ip local pool ***-pool 10.10.99.10-10.10.99.250

2、建立IKE第一阶段。

crypto isakmp policy 30
authentication pre-share

encryption des
hash md5
group 2
lifetime 43200

3、将IKE第一阶段应用在outside接口上面。

crypto isakmp enable outside-CTC

4、定义转换集。

crypto ipsec transform-set my***set esp-des esp-md5-hmac \\my***set为自定义转换集名字

5、动态加密映射配置。

   crypto dynamic-map my***-dynamic-map 30 set transform-set my***set \\my***-dynamic-map 为自定义map名
   crypto dynamic-map my***-dynamic-map 30 set reverse-route
   crypto dynamic-map my***-dynamic-map 30 set security-association lifetime seconds 288000

6、在静态加密映射中调用动态加密映射并应用在接口上面。

   crypto map kb***_map 10 ipsec-isakmp dynamic my***-dynamic-map \\kb***_map 自定义静态map名
   crypto map kb***_map interface outside-CTC

7、nat穿越。

crypto isakmp nat-traversal

8、创建与设置组策略。

   group-policy kb*** internal             \\kb*** 策略组名
   group-policy kb*** attributes
   dns-server value 202.96.209.6            \\设置client的DNS
   default-domain value cisco.com           \\设置client的域名                                                                                                ***-idle-timeout 300
***-filter value kbox-nonat
ipsec-udp enable
client-firewall none
client-access-rule none

9、隧道组的建立及设置属性。

   tunnel-group kb*** type ipsec-ra
   tunnel-group kb*** ipsec-attributes
      pre-shared-key 123456                 \\隧道组的密码
   tunnel-group kb*** general-attributes
      authentication-server-group LOCAL
      default-group-policy kb***
      address-pool ***-pool

10、配置用户账户。

    username test password 123456   \\用户名、密码
    username test attributes
    ***-group-policy kb***

11、配置NAT免除。(nat 0 配置以后，client网段才能访问内部需要开通的网段)

access-list ***nonat extended permit ip 10.10.17.0 255.255.255.0 10.10.99.0 255.255.255.0 \\允许client访问10.10.17.0 网段
access-list kbox-nonat extended permit ip any 10.10.0.0 255.255.0.0

nat (inside) 0 access-list ***nonat

12、隧道分离配置。(如果不配置隧道分离，客户端将不能够访问Internet)

   access-list split-tunnel-acl extended permit ip 10.10.1.0 255.255.0.0 any
   access-list split-tunnel-acl extended permit ip 192.168.0.0 255.255.0.0 any
   group-policy ***client attributes
   split-tunnel-policy tunnelspecified
   split-tunnel-network-list value split-tunnel-acl

保存完毕。

以下为客户端设置