ASA远程×××
1.建立地址池
ASA(config)#ip local pool remote-***pool 192.168.200.100-192.168.200.250 mask 255.255.255.0
2.建立IKE
 crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
 crypto isakmp enable outside应用在外接口上
或者
ASA(config)# isakmp policy 1
ASA(config-isakmp-policy)# authentication pre-share
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# group 2 
ASA(config-isakmp-policy)# lifetime 86400
ASA(config-isakmp-policy)# exit
ASA(config)#crypto isakmp enable outside
3.定义交换集(交换集名***set,全局模式下)
ASA(config)#crypto ipsec transform-set ***set esp-3des esp-sha-hmac 
4.动态加密映射(全局模式下)
ASA(config)#crypto dynamic-map remote-***-map 20 set transform-set ***set
ASA(config)#crypto dynamic-map remote-***-map 20 set reverse-route
ASA(config)#crypto dynamic-map remote-***-map 20 set security-association lifetime seconds 288000
5.静态调用动态加密映射并应用到外接口上
ASA(config)# crypto map newmap 20 ipsec-isakmp dynamic remote-***-map
ASA(config)# crypto map newmap interface outside
6.NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端
口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
ASA(config)# crypto isakmp nat-traversal
7.配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec 客户端绕过接口的访问列表
ASA(config)# sysopt connection permit-ipsec
8.创建与设置组策略(组策略名remote-***)
ASA(config)# group-policy remote-*** internal
ASA(config)# group-policy remote-*** attributes 
ASA(config-group-policy)# dns-server value 192.168.1.3 202.96.209.133
ASA(config-group-policy)# ***-tunnel-protocol ipsec 
ASA(config-group-policy)# default-domain value contoso.com
ASA(config-group-policy)# exit
9.遂道组的建立以属性的设置(***client是组用户名自己设定)
ASA(config)# tunnel-group ***client type ipsec-ra 
ASA(config)# tunnel-group ***client ipsec-attributes 
ASA(config-tunnel-ipsec)# pre-shared-key cisco123
ASA(config-tunnel-ipsec)# exit
ASA(config)# tunnel-group ***client general-attributes 
ASA(config-tunnel-general)# authentication-server-group LOCAL
ASA(config-tunnel-general)# default-group-policy remote-***
ASA(config-tunnel-general)# address-pool remote-***pool
ASA(config-tunnel-general)# exit
红色标记的是需要自己定义的
10.配置用户