Cisco防火墙ASA-EZ×××配置


   Easy ×××也叫做EZ×××,是Cisco为远程用户、分支办公室提供的一种远程访问×××解决方案,Ez×××提供了中心的×××管理,动态的策略分发,降低了远程访问×××部署的复杂程度,并且增加了扩展和灵活性。

 
Easy ×××特点介绍:

1. Easy ×××是Cisco私有技术,只能运用在Cisco设备。
2. Easy ×××适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专卖店或者×××点。 
3. Easy ×××在中心站点配置策略,并且当客户连接的时候推送给客户,降低了分支站点的管理压力。
 
Easy ×××中心站点管理的内容: 
1. 协商的隧道参数,例如:地址,算法和生存时间。
2. 使用已配置的参数建立隧道。  
3. 动态的为硬件客户端配置NAT或者PAT地址转换。  
4. 使用组,用户和密码认证客户
5. 管理加解密密钥。
6. 验证,加解密隧道数据。


ASA8.4之后部分IKEv1vpn和之前8.0.3时代的配置几乎是一样的,仅仅只是增加了一个ikev1的关键字。下面我就ASA8.4部分IKEv1Ez×××配置进行一下介绍
拓扑图:
Cisco防火墙ASA-EZVPN配置_ASA

ASAIKEv1 Ez×××配置:
-----------------------基本网络----------------------------
ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 123.123.1.10 255.255.255.0

ASA(config-if)# interface Ethernet0/1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 10.254.254.1 255.255.255.252

ASA(config)# route outside 0.0.0.0 0.0.0.0 123.123.1.1
ASA(config)# route Inside 10.10.1.0 10.254.254.2(仅仅只为解密后流量运用这条目的路由访问内网资源)
-----------------------Ez××× crypto策略----------------------------
ASA(config)# crypto ikev1 enable outside
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2

ASA(config)# crypto ipsec ikev1 transform-set ezset esp-des esp-md5-hmac

ASA(config)# crypto dynamic-map ezdymap 10 set ikev1 transform-set ezset
ASA(config)# crypto dynamic-map ezdymap 10 set reverse-route
ASA(config)# crypto map ezvpnmap 10 ipsec-isakmp dynamic ezdymap
ASA(config)# crypto map ezvpnmap interface Outside

ASA(config)# tunnel-group ezvpngroup typeremote-access
ASA(config)# tunnel-group ezvpngroup ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key ccieccie

-----------------------Ez××× 用户×××策略----------------------------

定义隧道分离:
ASA(config)# access-list ezSplit permit ip 10.10.1.0 255.255.255.0 any


定义地址池:
ASA(config)# ip local pool ezvpnpool 10.253.254.10-10.253.254.254

ASA(config)# group-policy ezvpn-group-policy internal (在group-policy下调用所有用户×××策略)
ASA(config)# group-policy ezvpn-group-policy attributes
ASA(config-group-policy)# address-pools value ezvpnpool
ASA(config-group-policy)# split-tunnel-policy tunnel specified
ASA(config-group-policy)# split-tunnel-network-list value ezSplit

ASA(config)# username ezvpn password cisco
ASA(config)# username ezvpn attributes (关联group-policy到用户)
ASA(config-username)# vpn-group-policy ezvpn-group-policy

 

配置NAT豁免:

object network local-vpn-traffic

 subnet 10.10.0.0 255.255.0.0

object network remote-vpn-traffic

 subnet 10.253.254.0 255.255.255.0

nat (inside,outside) source static local-vpn-trafficlocal-vpn-traffic destination static remote-vpn-traffic remote-vpn-traffic

×××Client配置:

Cisco防火墙ASA-EZVPN配置_Cisco_02