ASA 5550 VPN配置
拓扑图如下:
IPsec VPN(EzVPN)
EzVPN分为EzVPN Server和EzVPN Remote(本文将EzVPN Remote等同于EzVPN Client),EzVPN Server通常就是我们的公司总部,EzVPN Server必须配置在公司总部的支持EzVPN功能的硬件设备上,如路由器,防火墙以及VPN集中器都可以,并且公司总部端的EzVPN Server必须具备静态固定的公网IP地址,用以接受任何EzVPN Client的IPsec VPN连接请求。
EzVPN Client则布署在需要和公司总部连接IPsec VPN的Home Office以及出差在外的移动办公人员处,EzVPN Client也可以配置在硬件路由器或防火墙上(准确地讲这时就叫EzVPN Remote),但如果这样去实现,就需要专业的配置,那还不如不用EzVPN,所以EzVPN Client可以通过软件的形式安装到PC上(准确地讲这时就叫EzVPN Client),当以软件方式安装了EzVPN Client之后,所有的必须的IPsec命令配置就交给软件自动去完成,不需要人工干预,从而真正实现简单易用。但我们知道,要完成IPsec VPN连接,双方必须就IKE(ISAKMP)策略、认证标识、IPsec transform保持一致,那么通过EzVPN Client实现的IPsec又如何去和通过专业技术人员在公司总部的硬件设备上配置的EzVPN Server策略保持一致呢?这个答案也很简单,那就是EzVPN Server直接告诉EzVPN Client该使用什么样的IPsec策略,因为在EzVPN Client软件中已经预先集成了几乎所有的IPsec策略,当EzVPN Client向EzVPN Server请求建立IPsec VPN连接时,EzVPN Server就会将自己通过专业人员配置好的IPsec策略发向EzVPN Client,相当于将自己的IPsec策略推送到EzVPN Client,当EzVPN Client收到这些IPsec策略之后,就从自己预先定义好的策略库中选出完全匹配的策略来应用,最终在与EzVPN Server双方IPsec策略保持一致之后建立IPsec VPN。
省略基本网络配置,配置内接口为vpnin(10.1.98.247),外接口vpnout(公网IP)。
1、定义加解密技术、认证技术、密钥管理技术和加密技术
firewall-c503(config)# crypto isakmp policy ?
configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
firewall-c503(config)# crypto isakmp policy 10
firewall-c503(config-isakmp-policy)# authentication pre-share
firewall-c503(config-isakmp-policy)# encryption des
firewall-c503(config-isakmp-policy)# hash md5
firewall-c503(config-isakmp-policy)# group 2
firewall-c503(config-isakmp-policy)# exit
firewall-c503(config)# crypto isakmp nat-traversal 10
firewall-c503(config)# crypto isakmp enable vpnout
2、定义crypto map与IPsec transform (定义数据安全保护),并应用到vpnout
firewall-c503(config)# crypto ipsec transform-set firstset esp-des esp-md5-hmac
firewall-c503(config)# crypto dynamic-map firstdyn 10 set transform-set firstset
firewall-c503(config)# crypto map firstmap 10 ipsec-isakmp dynamic firstdyn
firewall-c503(config)# crypto map firstmap interface vpnout
3、定义IP分配地址池、用户组策略和隧道
firewall-c503(config)# ip local pool vpnpool 10.1.98.128-10.1.98.192 mask 255.255.255.0
firewall-c503(config)# group-policy firstpolicy internal //策略配置在本地
firewall-c503(config-group-policy)# group-policy firstpolicy attributes
firewall-c503(config-group-policy)# dns-server value 10.1.254.253
firewall-c503(config-group-policy)# vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
firewall-c503(config)# tunnel-group DefaultRAGroup general-attributes
firewall-c503(config-tunnel-general)# address-pool vpnpool
firewall-c503(config-tunnel-general)# default-group-policy firstpolicy
firewall-c503(config)# tunnel-group DefaultRAGroup ipsec-attributes
firewall-c503(config-tunnel-ipsec)# pre-shared-key zhujianyue
4、创建用户和密码
firewall-c503(config)# username test password test
5、安装Cisco.VPN.Client(建议5.0以上)
下载地址:http://xxx.gd2.xdowns.com:8080/0810/Cisco.VPN.Client.rar
新建一个连接
点保存后,点连接会弹出如下画面
6、隧道分离
在第5步你成功拨入VPN会发现所有的流量都VPN线路流出,查看如下本机路由表。
社区:
