ASA防火墙配置远程访问Easy VPN

原创

沉默不是罪 2022-06-07 16:24:32 博主文章分类：Cisco ©著作权

文章标签 ip地址 ide 静态路由 ASA配置Easy VPN 文章分类 安全技术网络/安全

©著作权归作者所有：来自51CTO博客作者沉默不是罪的原创作品，请联系作者获取转载授权，否则将追究法律责任
ASA防火墙配置远程访问Easy VPN
https://blog.51cto.com/ytech/5363946

拓扑图：

ASA防火墙配置远程访问Easy VPN_ide

推荐步骤：

PC机、防火墙、路由器Web_Server配置IP地址
ASA访问ISP的网站使用默认路由，R1访问ISP的网站使用默认路由，ISP访问PC1和PC2使用静态路由全网互通
ASA防火墙配置Easy VPN，PC2使用Easy VPN客户端访问PC1

实验步骤：

一、PC机、防火墙、路由器Web_Server配置IP地址

1、PC1配置IP地址开启远程管理

1）给C1接口配置IP地址

PC1(config)#no ip routing

PC1(config)#interface fastEthernet 0/0

PC1(config-if)#ip address 192.168.10.2 255.255.255.0

PC1(config-if)#no shutdown

PC1(config)#ip default-gateway 192.168.10.1

PC1(config)#end

2）查看PC1接口配置IP地址

ASA防火墙配置远程访问Easy VPN_静态路由_02

3）开启远程管理

PC1(config)#enable password pwd@123

PC1(config)#line vty 0 4

PC1(config-line)#password pwd@123

PC1(config-line)#login

PC1(config-line)#end

2、ASA防火墙配置IP地址

1）SA接口配置IP地址

ASA1(config)# interface ethernet 0/0

ASA1(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA1(config-if)# ip address 192.168.10.1 255.255.255.0

ASA1(config-if)# no shutdown

ASA1(config-if)# exit

ASA1(config)# interface ethernet 0/1

ASA1(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA1(config-if)# ip address 192.168.20.1 255.255.255.0

ASA1(config-if)# no shutdown

ASA1(config-if)# end

2）查看接口配置IP地址

ASA防火墙配置远程访问Easy VPN_ASA配置Easy VPN_03

3、给ISP路由器配置IP地址

1）给ISP接口配置IP地址

ISP(config)#interface fastEthernet 0/0

ISP(config-if)#ip address 192.168.20.2 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0

ISP(config-if)#ip address 192.168.30.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 2/0

ISP(config-if)#ip address 192.168.50.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#end

2）查看ISP接口配置的IP地址

ASA防火墙配置远程访问Easy VPN_ASA配置Easy VPN_04

4、路由器R1接口配置IP地址

1）给路由器R1接口配置IP地址

R1(config)#interface fastEthernet 1/0

R1(config-if)#ip address 192.168.30.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 192.168.40.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#end

2）查看R1接口配置IP地址

ASA防火墙配置远程访问Easy VPN_静态路由_05

5、Web_Server配置IP地址地址开启网站功能

1）给Web_Server配置IP地址

WEB_Server(config)#interface fastEthernet 0/0

WEB_Server(config-if)#ip address 192.168.50.2 255.255.255.0

WEB_Server(config-if)#no shutdown

WEB_Server(config-if)#exit

WEB_Server(config)#ip http server

WEB_Server(config)#ip default-gateway 192.168.50.1

2）查看Web_Server配置的IP地址

ASA防火墙配置远程访问Easy VPN_ip地址_06

6、桥接的PC2配置IP地址

１）给桥接PC2配置IP地址

ASA防火墙配置远程访问Easy VPN_ip地址_07

2）查看桥接PC2配置的IP地址

ASA防火墙配置远程访问Easy VPN_ip地址_08

二、ASA访问ISP使用默认路由，R1访问ISP使用默认路由，ISP访问PC1和PC2使用静态路由全网互通

1、ASA配置ISP使用默认

1）在ASA配置默认路由访问ISP

ASA1(config)# route outside 0 0 192.168.20.2

2）查看路由表

ASA防火墙配置远程访问Easy VPN_ASA配置Easy VPN_09

2、R1访问ISP使用默认路由

1）在R1配置默认路由访问ISP

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

2）查看默认路由

ASA防火墙配置远程访问Easy VPN_ide_10

3、ISP访问PC1和PC2使用静态路由

1）在ISP配置静态路由访问PC1和PC2

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.1

ISP(config)#ip route 192.168.40.0 255.255.255.0 192.168.30.2

2）查看ISP配置的静态路由

ASA防火墙配置远程访问Easy VPN_ip地址_11

4、配置访问控制列表允许低安全级别访问高icmp协议添加状态列表

1）配置访问控制列表允许低安全级别访问高

ASA1(config)# access-list out_to_in permit ip any any

2）icmp协议添加状态列表

ASA1(config)# fixup protocol icmp

INFO: converting 'fixup protocol icmp ' to MPF commands

ASA1(config)#

5、测试全网互通

1）PC1测试访问PC2

ASA防火墙配置远程访问Easy VPN_ip地址_12

2）PC2测试访问PC1

ASA防火墙配置远程访问Easy VPN_静态路由_13

三、ASA配置NAT和开启NAT控制功能PC1访问ISP的网站使用NAT转换，R1路由器配置NAT实现PC2访问ISP的网站使用NAT转换，配置豁免PC1和PC2查询路由表转发使用Easy VPN加密传输数据

1、ASA开启NAT控制配置NAT功能

1）开启NAT控制功能强制经过NAT转发访问互联网

ASA1(config)# nat-control

2）配置NAT规则识别NAT转发流量

ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0

3）将NAT流量映射到防火墙外网接口

ASA1(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

ASA1(config)#

2、PC1访问ISP的网站验证NAT

1）PC1访问ISP的网站

ASA防火墙配置远程访问Easy VPN_静态路由_14

2）查看ASA地址转换信息

ASA防火墙配置远程访问Easy VPN_ip地址_15

3、在ASA配置豁免PC1访问PC2使用Easy VPN加密

1）在ASA配置识别豁免的流量

ASA1(config)# access-list nonat permit ip 192.168.10.0 255.255.255.0 192.168.4 0.0 255.255.255.0

2）应用ASA豁免

ASA1(config)# nat (inside) 0 access-list nonat

3）配置完成豁免PC1可以访问PC2测试

ASA防火墙配置远程访问Easy VPN_静态路由_16

4、R1路由器接口开启NAT，配置PC2访问PC1的流量不经过NAT，PC2访问ISP流量经过NAT转换

1）在R1路由接口开启NAT功能

R1(config)#interface fastEthernet 1/0

R1(config-if)#ip nat outside

R1(config-if)#exit

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

2）创建访问控制列表NAT不转发PC2访问PC1网络的流量

R1(config)#access-list 100 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255

3）创建访问控制列表识别NAT的流量

R1(config)#access-list 100 permit ip 192.168.40.0 0.0.0.255 any

4）将NAT的流量映射到路由器的外网接口

R1(config)#ip nat inside source list 100 interface fastEthernet 1/0 overload

5、验证PC2访问互联网和PC1

1）PC2访问互联网

ASA防火墙配置远程访问Easy VPN_静态路由_17

2）查看地址转换信息

ASA防火墙配置远程访问Easy VPN_ip地址_18

3）PC2访问PC1查询路由表不经过NAT转发

ASA防火墙配置远程访问Easy VPN_ip地址_19

四、ASA防火墙配置Easy VPN，PC2使用Easy VPN客户端访问PC1

1、创建Easy VPN验证账户、配置安全策略、允许Outside接口建立IKE连接

1）创建Easy VPN验证账户

ASA1(config)# username admin password pwd@123

2）配置安全策略

ASA1(config)# crypto isakmp policy 1

ASA1(config-isakmp-policy)# encryption aes

ASA1(config-isakmp-policy)# hash md5

ASA1(config-isakmp-policy)# authentication pre-share

ASA1(config-isakmp-policy)# group 3

ASA1(config-isakmp-policy)# lifetime 86400

ASA1(config-isakmp-policy)# exit

3）允许Outside接口建立IKE连接

ASA1(config)# crypto isakmp enable outside

4）创建传输集名字easy-set加密使用aes验证使用md5

ASA1(config)# crypto ipsec transform-set easy-set esp-aes esp-md5-hmac

2、配置Easy VPN地址池，创建隧道分离ACL，创建组策略调用隧道分离ACL

1）创建地址池名字easyvpn

ASA1(config)# ip local pool easyvpn 192.168.1.1-192.168.1.100

2）创建隧道分离ACL识别隧道分离流量

ASA1(config)# access-list splist-acl permit ip 192.168.1.0 255.255.255.0 any

3）创建本地组策略名字easy-policy

ASA1(config)# group-policy easy-policy internal

4）配置本地组策略属性

ASA1(config)# group-policy easy-policy attributes

5）本地组策略识别匹配访问控制列表进行隧道分离

ASA1(config-group-policy)# split-tunnel-policy tunnelspecified

6）本地组策略调用隧道分离ACL

ASA1(config-group-policy)# split-tunnel-network-list value splist-acl

ASA1(config-group-policy)# exit

3、配置隧道组

1）创建隧道组名字为remote-vpn

ASA1(config)# tunnel-group remote-vpn type ipsec-ra

2）配置隧道组属性

ASA1(config)# tunnel-group remote-vpn general-attributes

3）隧道组属性调用地址池

ASA1(config-tunnel-general)# address-pool easyvpn

4）隧道组属性调用组策略

ASA1(config-tunnel-general)# default-group-policy easy-policy

ASA1(config-tunnel-general)# exit

5）设置Easy VPN密钥

ASA1(config)# tunnel-group remote-vpn ipsec-attributes

ASA1(config-tunnel-ipsec)# pre-shared-key pwd@123

ASA1(config-tunnel-ipsec)# exit

4、创建动态map调用传输集，创建静态map调用动态map，静态map应用到接口

1）动态map名字为dy-map调用传输集名字为easy-set

ASA1(config)# crypto dynamic-map dy-map 1 set transform-set easy-set

2）创建静态map调用动态map

ASA1(config)# crypto map st-map 1 ipsec-isakmp dynamic dy-map

3）将静态map应用到防火墙接口

ASA1(config)# crypto map st-map interface outside

5、客户访问Easy VPN

1）创建Easy VPN连接

ASA防火墙配置远程访问Easy VPN_静态路由_20

2）输入账户密码

ASA防火墙配置远程访问Easy VPN_静态路由_21

3）查看VPN连接

ASA防火墙配置远程访问Easy VPN_ip地址_22

4）查看VPN连接状态

ASA防火墙配置远程访问Easy VPN_ide_23

5）客户端访问网站

ASA防火墙配置远程访问Easy VPN_ip地址_24

6）客户端远程管理PC1

ASA防火墙配置远程访问Easy VPN_ide_25

上一篇：路由器配置远程访问Easy VPN

下一篇：ASA防火墙配置SSL远程VPN

举报文章

请选择举报类型

内容侵权涉嫌营销内容抄袭违法信息其他

具体原因

包含不真实信息涉及个人隐私

原文链接（必填）

补充说明

0/200

上传截图

格式支持JPEG/PNG/JPG，图片不超过1.9M

已经收到您得举报信息，我们会尽快审核

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

官方博客	意见反馈	了解我们	全部文章
在线客服	网站地图	热门标签