前言:上一篇博文寫了Cisco路由器之Easy虛擬專用網(wǎng)(解決出差員工訪問公司內網(wǎng)的問題)�����,是基于公司網(wǎng)關設備是路由器的情況下����,那么,如果是ASA防火墻的話��,又該怎么配置呢�����?關于理論部分��,在前面提到的博文鏈接中已經(jīng)寫的挺詳細了����,可以參考那篇博文的理論部分,這里就直接上配置了��。
創(chuàng)新互聯(lián)堅持“要么做到�,要么別承諾”的工作理念��,服務領域包括:成都做網(wǎng)站���、網(wǎng)站設計、外貿營銷網(wǎng)站建設�、企業(yè)官網(wǎng)��、英文網(wǎng)站����、手機端網(wǎng)站、網(wǎng)站推廣等服務�,滿足客戶于互聯(lián)網(wǎng)時代的若羌網(wǎng)站設計、移動媒體設計的需求����,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴��!
該博文關于虛擬專用網(wǎng)的理論知識點比較少�����,因為我之前寫過好幾篇虛擬專用網(wǎng)的博文了�����,所以關于原理方面不會重復寫,若想了解原理�,可以參考以下博文(路由器和防火墻的虛擬專用網(wǎng)原理類似,可參考):
- Cisco路由器之Easy虛擬專用網(wǎng)(解決出差員工訪問公司內網(wǎng)的問題)
- Cisco路由器之IPSec 虛擬專用網(wǎng)
1����、網(wǎng)絡環(huán)境如下:
2、環(huán)境分析:
(1)在公司網(wǎng)關ASA防火墻上配置虛擬專用網(wǎng)���,客戶端(出差人員)可以連接到虛擬專用網(wǎng)���,并訪問內網(wǎng)提供的DNS服務及HTTP(www.lvjianzhao.com ) 服務(使用該域名訪問,內網(wǎng)中的DNS負責解析該域名)��,為了簡化環(huán)境���,所以將內網(wǎng)的服務集成到一臺服務器上了��。
(2)客戶端連接到虛擬專用網(wǎng)后�,還可以使用Internet的DNS及HTTP服務��,模擬www.baidu.com 網(wǎng)站服務�,并使用Internet上的服務器提供的DNS服務解析該域名���。
(3)自行配置正確的路由器接口及各個服務器的IP、網(wǎng)關���、路由(服務器配置相應的網(wǎng)關�,ASA防火墻只需配置接口IP及一條默認路由指向R1路由器即可����,R1路由器除了接口IP以外什么都不要配置���,尤其是路由表���,否則可能測試不出來虛擬專用網(wǎng)的效果)。
(4)客戶端需要安裝Cisco提供的客戶端軟件進行連接��。
3��、配置前準備:
(1)下載客戶端使用的軟件��,并安裝在客戶端����,用來連接虛擬專用網(wǎng)���。(我這里提供的是windows 7的client安裝包,如果客戶端是Windows 10��,請參考博文:Windows 10 安裝虛擬專用網(wǎng)client端)��。
(2)自行配置路由器接口IP地址及路由(這些基礎配置命令就不展示了��,我之前的博文有寫到過����,或者自行百度吧)。�。
(3)自行配置各個服務器及客戶端的IP及網(wǎng)關。
(4)自行在相關服務器上搭建HTTP服務及DNS服務(這兩個服務不是這篇博客想要介紹的����,我這里簡單搭了一個,我之前的博文有搭相關服務的�,可以自行查看)。
4����、開始配置:
配置舉例:
ASA-1(config-if)# route outside 0 0 200.0.0.2 #配置ASA防火墻配置去往外網(wǎng)的路由
#以下是配置接口區(qū)域及IP地址,并開啟接口
ciscoasa(config-if)# in e0/1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
當所有基礎配置(接口IP地址、路由�����、網(wǎng)關)配置完畢后���,即可進行以下虛擬專用網(wǎng)的配置�。
(1)公司網(wǎng)關ASA防火墻置如下:
ASA-1(config)# username lvjianzhao password 2019.com #配置客戶端連接使用的用戶名/密碼
ASA-1(config)# crypto isakmp enable outside #outside接口開啟 isakmp
#以下是配置"階段1——管理連接:"
ASA-1(config)# crypto isakmp policy 10
ASA-1(config-isakmp-policy)# encryption 3des
ASA-1(config-isakmp-policy)# hash sha
ASA-1(config-isakmp-policy)# authentication pre-share
ASA-1(config-isakmp-policy)# group 2
ASA-1(config-isakmp-policy)# exit
#接下來"配置階段1.5"��,就是需要在管理連接后建立成功后����,推送給客戶端的配置了。
#以下是配置一個地址池��,池中的地址是向客戶端分發(fā)的�,
#地址池的網(wǎng)段地址���,不可以和內網(wǎng)使用同一網(wǎng)段�,否則將會影響最終通信
ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210
#以下是定義一個命名的ACL���,這個ACL是推送給客戶端使用的����,只有ACL允許的源地址是可以被客戶端訪問的。
//這個ACL是允許192.168.0.0去往任何地址�����,當推送到客戶端時�,就會反過來。
#變成了允許任何IP地址訪問192.168.0.0����。因為這里的源地址是站在路由器的角度的。
ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
#以下是創(chuàng)建用戶組��, internal 表示策略定義在本地��,可以改為external表示策略定義AAA服務器
ASA-1(config)# group-policy test-group internal
ASA-1(config)# group-policy test-group attributes #配置用戶組的屬性
ASA-1(config-group-policy)# dns-server value 192.168.0.1 #指定分發(fā)給客戶端的DNS地址
ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified
#關于上面的“split-tunnel-policy”后面可以接三種類型的規(guī)則���,如下:
#tunnelspecified表示所有匹配的流量走隧道�����,我這里選擇的就是這個��;
#tunnelall:所有流量必須走隧道�,即不做分離隧道,這是默認設置�����,一般不使用該選項�;
#excludespecified:所有不匹配ACL的流量走隧道,不推薦使用此選項�����。
ASA-1(config-group-policy)# split-tunnel-network-list value split-acl #引用之前創(chuàng)建的ACL
ASA-1(config-group-policy)# exit
ASA-1(config)# tunnel-group test-group type ipsec-ra #指定組的類型是ipsec-ra(遠程訪問)
ASA-1(config)# tunnel-group test-group general-attributes #配置屬性
ASA-1(config-tunnel-general)# address-pool test-pool #引用剛才定義的“地址池”
ASA-1(config-tunnel-general)# default-group-policy test-group #調用組策略
ASA-1(config-tunnel-general)# exit
#配置傳輸集用戶名及共享密鑰
ASA-1(config)# tunnel-group test-group ipsec-attributes
ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123
ASA-1(config-tunnel-ipsec)# exit
#下面是配置"階段2——數(shù)據(jù)連接"
ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac
ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set #配置動態(tài)map
ASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap #將動態(tài)map引入靜態(tài)map
ASA-1(config)# crypto map test-stamap int outside #應用到外網(wǎng)接口��,也就是outside口
公司網(wǎng)關ASA防火墻關于虛擬專用網(wǎng)的配置已經(jīng)完成了����,現(xiàn)在使用客戶端安裝專用軟件,連接虛擬專用網(wǎng)����,并測試訪問即可。
(2)客戶端配置如下:
將我提供的壓縮包解壓后安裝虛擬專用網(wǎng)的客戶端軟件:
還需要再次解壓��,選擇解壓到哪里:
解壓后���,會彈出下面的安裝向導,如下,選擇安裝語言:
基本上就是無腦下一步了���,自己看吧�����!
選擇安裝路徑:
等待安裝完成即可���!
安裝完成后,可以通過以下來找到client軟件:
單擊打開client:
添加一個連接:
填寫具體信息:
連接虛擬專用網(wǎng):
彈出以下對話框后����,填寫在網(wǎng)關設備上創(chuàng)建的用戶及密碼:
連接成功后,可以查看我們客戶端的網(wǎng)絡適配器有什么變化����。
使用客戶端分別訪問www.lvjianzhao.com 及 www.baidu.com 即可驗證公司內網(wǎng)及Internet上的http服務和DNS服務
至此,效果實現(xiàn)���,客戶端既可以訪問公司內網(wǎng)的服務�����,也可以訪問Internet的服務���,OK�,齊活��。
———————— 本文至此結束��,感謝閱讀 ————————
網(wǎng)頁標題:CiscoASA防火墻之Easy虛擬專用網(wǎng)(解決出差員工訪
文章URL:
http://weahome.cn/article/pgsgeh.html
重慶分公司
重慶分公司
