在Cisco ASA防火墻上配置遠(yuǎn)程訪問虛擬專用網(wǎng)（Easy 虛擬專用網(wǎng)）原理和路由器一樣，對(duì)Easy 虛擬專用網(wǎng)原理不清楚的朋友可以參考博文Cisco路由器實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛擬專用網(wǎng)（解決出差員工訪問內(nèi)網(wǎng)的問題） 在路由器上配置和在防火墻上配置終歸還是會(huì)區(qū)別的。這里就直接開始配置了，不再詳細(xì)的介紹了！

創(chuàng)新互聯(lián)公司是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),網(wǎng)站空間、主機(jī)租用、主機(jī)托管，四川、重慶、廣東電信服務(wù)器租用,德陽服務(wù)器托管，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國大陸、港澳臺(tái)以及歐美等多個(gè)國家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

在防火墻上實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)技術(shù)可以參考博文Cisco ASA防火墻實(shí)現(xiàn)IPSec 虛擬專用網(wǎng)，可跟做！??！

一、案例環(huán)境

由于模擬器的原因，導(dǎo)致防火墻不能和終端設(shè)備相連，所以中間放了一個(gè)交換機(jī)！

二、案例需求

（1）用戶通過Easy 虛擬專用網(wǎng)通過域名（www.yinuo.com） 訪問內(nèi)部的網(wǎng)站；
（2）用戶通過域名（www.xiaojiang.com） 正常訪問公網(wǎng)上的網(wǎng)站；
（3）用戶根據(jù)拓補(bǔ)圖的要求，自行配置IP地址及相應(yīng)的服務(wù)；

三、案例實(shí)施

（1）網(wǎng)關(guān)ASA防火墻的配置：

ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址，并設(shè)置默認(rèn)網(wǎng)關(guān)
ASA(config)# username lvzhenjiang password jianjian
//防護(hù)墻默認(rèn)已經(jīng)啟用AAA，而且是通過本地驗(yàn)證，所以直接設(shè)置用戶名和密碼即可
ASA(config)# crypto isakmp enable outside             //啟用ISAKMP/IKE協(xié)議
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

階段1配置完成！

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池，向虛擬專用網(wǎng)客戶端分發(fā)IP地址（不可和內(nèi)網(wǎng)的IP地址為同一網(wǎng)段）
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定義一個(gè)命名的ACL用于允許192.168.1.0去往任何地址，當(dāng)推送到客戶端時(shí)，就會(huì)反過來
//變成了允許任何IP地址訪問192.168.1.0。因?yàn)檫@里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定義策略并放置在本地（external表示定義在別的AAA服務(wù)器上）
ASA(config)# group-policy lv-group attributes               //定義用戶組的屬性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定義發(fā)布給客戶端的DNS服務(wù)器地址
ASA(config-group-policy)# address-pool value lv-pool
//調(diào)用剛才定義的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//關(guān)于上面的“split-tunnel-policy”后面可以接三種類型的規(guī)則，如下：
* tunnelspecified表示所有匹配的流量走隧道，我這里選擇的就是這個(gè)；
* tunnelall：所有流量必須走隧道，即不做分離隧道，這是默認(rèn)設(shè)置，一般不使用該選項(xiàng)；
* excludespecified：所有不匹配ACL的流量走隧道，不推薦使用此選項(xiàng)；
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//調(diào)用剛才定義的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道組的類型是遠(yuǎn)程訪問  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道組的屬性
ASA(config-tunnel-general)# address-pool lv-pool                //調(diào)用剛才定義的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //調(diào)用用戶組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定義隧道組名稱
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定義隧道組密碼
ASA(config-tunnel-ipsec)# exit

階段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定義傳輸集名稱，及加密驗(yàn)證的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定義動(dòng)態(tài)map名稱為lv-dymap，優(yōu)先級(jí)為1，并調(diào)用剛才定義的傳輸集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定義靜態(tài)map，優(yōu)先級(jí)為1000 ，調(diào)用動(dòng)態(tài)map
ASA(config)# crypto map lv-stamap int outside
//將靜態(tài)map應(yīng)用到網(wǎng)關(guān)連接外網(wǎng)的接口上

階段2配置完成

（2）客戶端用于測(cè)試

這里使用windows 7客戶端工具 進(jìn)行測(cè)試！如果使用windows 10系統(tǒng)的朋友，安裝客戶端工具時(shí)，會(huì)相對(duì)麻煩一些，可以參考博文Windows 10系統(tǒng)安裝虛擬專用網(wǎng)客戶端工具

接下來無腦下一步即可！安裝完成之后





連接成功后，查看生成的虛擬專用網(wǎng)的IP地址


訪問公司內(nèi)部、公網(wǎng)的服務(wù)器測(cè)試訪問！


訪問成功！

———————— 本文至此結(jié)束，感謝閱讀 ————————

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁名稱：CiscoASA防火墻實(shí)現(xiàn)遠(yuǎn)程訪問虛擬專用網(wǎng)——Easy虛-創(chuàng)新互聯(lián)
分享網(wǎng)址：http://weahome.cn/article/dpieep.html