ASA个实现easy vpn

1、 规划拓扑图

2、 开始基本配置

R1(ISP) hostname ISP interface FastEthernet0/0 ip address 100.0.0.2 255.255.255.0 no sh interface FastEthernet0/1 ip address 200.0.0.1 255.255.255.0 no sh interface FastEthernet1/0 ip address 200.0.1.1 255.255.255.0 no sh

ASA01： ASA01(config)# inter e0/0 ASA01(config-if)# nameif outside ASA01(config-if)# security-level 0 ASA01(config-if)# ip add 100.0.0.1 255.255.255.0 ASA01(config-if)# no sh ASA01(config-if)# inter e0/1
ASA01(config-if)# nameif inside ASA01(config-if)# security-level 100 ASA01(config-if)# ip add 192.168.100.1 255.255.255.0 ASA01(config-if)# no sh ASA01(config-if)# exit ASA01(config)# route outside 0 0 100.0.0.2 ASA01(config)# access-list permit_icmp permit icmp any any ASA01(config)# access-group permit_icmp in interface outside

开始配置easy vpn

ASA01(config)# username cisco password cisco ASA01(config)# crypto isakmp enable outside ASA01(config)# crypto isakmp policy 10 ASA01(config-isakmp-policy)# encryption 3des ASA01(config-isakmp-policy)# hash sha ASA01(config-isakmp-policy)# authentication pre-share ASA01(config-isakmp-policy)# group 2 ASA01(config-isakmp-policy)# exit ASA01(config)# ip local pool vpn-pool 192.168.200.10-192.168.200.100 mask 255.255.255.0 ASA01(config)# access-list split-acl permit ip 192.168.100.0 255.255.255.0 any ASA01(config)# group-policy test-group internal
ASA01(config)# group-policy test-group attributes ASA01(config-group-policy)# split-tunnel-policy tunnelspecified ASA01(config-group-policy)# split-tunnel-network-list value split-acl ASA01(config-group-policy)# exit ASA01(config)# tunnel-group vpn-group type ipsec-ra
ASA01(config)# tunnel-group vpn-group general-attributes ASA01(config-tunnel-general)# address-pool vpn-pool ASA01(config-tunnel-general)# default-group-policy test-group ASA01(config-tunnel-general)# exit ASA01(config)# tunnel-group vpn-group ipsec-attributes ASA01(config-tunnel-ipsec)# pre-shared-key ASA01(config-tunnel-ipsec)# exit ASA01(config)# crypto ipsec transform-set vpn-set esp-3des esp-sha-hmac ASA01(config)# crypto dynamic-map vpn-dymap 1 set transform-set vpn-set ASA01(config)# crypto map vpn-stamap 1000 ipsec-isakmp dynamic vpn-dymap ASA01(config)# crypto map vpn-stamap interface outside ASA01(config)# exit

配置完成 在host3上进行连接！ 拨号已经成功！！ 在host3上可以 ping通host1 通过ip的方式访问web服务器，通过dns方式不行

在ASA上： group-policy test-group attributes ASA01(config-group-policy)# split-dns value sina.com ASA01(config-group-policy)# dns-server value 192.168.100.2 ok ok

注意： 1、 现在配置的内网地址为：192.168.100.1，现在我们配置的地址池：vpn-pool 192.168.200.10-192.168.200.100，不在同一个网段 2、 如果想配置为何我们的内网地址为同一个网段的也可以，但是在这个时候要在动态map的模式下配置反向路由注入 ASA01(config)# crypto dynamic-map vpn-dymap 1 set reverse-route 就可以了，这和我们在路由器上配置的相同 在路由器上也是一样的地址池的网段是否和内网的网段一致这个要注意