ASA防火墙的远程VPN(Ezvpn)

2019年10月3日22:38:46 评论 75

接着上篇路由器的Ezvpn(见 http://www.linuxidc.com/Linux/2013-02/79392.htm ),下面实验中模拟ASA防火墙的远程vpn。远程移动用户通过cisco vpn client连上总部内网进行资源访问。如下拓扑图:

实验配置:
 
R1>en
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火墙====================================
 
lwmfw# conf t
 
lwmfw(config)#

lwmfw(config)# int e0/0
 
lwmfw(config-if)# no sh
 
lwmfw(config-if)# security-level 100
 
lwmfw(config-if)# nameif inside
 
lwmfw(config-if)# ip add 192.168.1.2 255.255.255.0
 
lwmfw(config-if)# int e0/1
 
lwmfw(config-if)# no sh
 
lwmfw(config-if)# security-level 0
 
lwmfw(config-if)# nameif outside
 
lwmfw(config-if)# ip add 118.97.225.242 255.255.255.252
 
lwmfw(config-if)# end
 

lwmfw(config)# host lwmfw
 
lwmfw(config)# access-list 101 permit icmp any any
 
lwmfw(config)# access-list 101 permit ip any any
 
lwmfw(config)# access-group 101 in interface outside

lwmfw(config)# route outside 0.0.0.0 0.0.0.0 118.97.225.241
 
lwmfw(config)# route inside 172.16.16.0 255.255.255.0 192.168.1.1
 
lwmfw(config)# crypto isakmp policy 10
 
lwmfw(config-isakmp-policy)# authentication pre
 
lwmfw(config-isakmp-policy)# en 3des
 
lwmfw(config-isakmp-policy)# hash sha
 
lwmfw(config-isakmp-policy)# group 2
 
lwmfw(config-isakmp-policy)# exit
 
lwmfw(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac

lwmfw(config)# crypto dynamic-map liwenming 10 set transform-set myset
 
lwmfw(config)# crypto map liwenming1 20 ipsec-isakmp dynamic liwenming
 
lwmfw(config)# crypto isakmp enable outside

lwmfw(config)# crypto map liwenming1 interface outside

lwmfw(config)# ip local pool remotevpn 192.168.100.100-192.168.100.200
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分离
 
配置用户组策略
 
lwmfw(config)# group-policy limingya internal

lwmfw(config)# group-policy limingya attributes                     

lwmfw(config-group-policy)# address-pools value remotevpn
 
lwmfw(config-group-policy)# dns-server value 202.103.24.68
 
lwmfw(config-group-policy)# split-tunnel-policy tunnelspecified

lwmfw(config-group-policy)# split-tunnel-network-list value split_tunnel_list
配置用户隧道信息
 
lwmfw(config-group-policy)# tunnel-group limingya1 type ipsec-ra
 
lwmfw(config)# tunnel-group limingya1 general-attributes

lwmfw(config-tunnel-general)# default-group-policy limingya1
 
lwmfw(config-tunnel-general)# exit
 
lwmfw(config)# tunnel-group limingya1 ipsec-attributes

lwmfw(config-tunnel-ipsec)# pre-shared-key limingya1
 
lwmfw(config-tunnel-ipsec)# exit
 
创建远程用户名和密码
 
lwmfw(config)# username liwenming password liwenming
 
lwmfw(config)# end
 
lwmfw#

NAT和访问控制
 
lwmfw(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
 
lwmfw(config)# access-list 102 extended permit ip host 172.16.16.2 any

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: