博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2833|回复: 3

Remote VPN配置+附送SSL VPN配置

[复制链接]
发表于 2007-12-30 07:08:18 | 显示全部楼层 |阅读模式
Remote VPN配置+附送SSL VPN配置

配置实例ASA5550-K8,版本:7.2.2



IPSEC VPN部分:
IPSec主要配置
(1)
配置访问控制列表

(2)
定义安全提议

创建安全提议
选择安全协议
选择安全算法
选择报文封装形式
(3)
创建安全策略

包括手工创建安全策略和用IKE创建安全策略。
手工创建安全策略:
手工创建安全策略
在安全策略中引用安全提议
在安全策略中引用访问控制列表
配置隧道的起点和终点
配置安全联盟的SPI
配置安全联盟使用的密钥
用IKE创建安全策略:
用IKE创建安全策略
在安全策略中引用安全提议
在安全策略中引用访问控制列表
在安全策略中引用IKE对等体
配置安全联盟生存周期(可选)

配置协商时使用的PFS特性

(4)
配置安全策略模板(可选)

   (5)
接口上应用安全策略。



Remote VPN 配置要点:
1.添加 NO_NAT ACL ,即access-list inside_outbound_nat0_acl extended permit ip ANY 10.X.X.0 255.255.255.0 (内网用户访问VPNPOOL)
应用到nat (inside) 0 access-list inside_outbound_nat0_acl
解决VPN USER不能访问内网的问题
2. 添加access-list splitTunnelAcl extended permit ip 10.X.X.0 255.255.255.0 (内网用户访问VPNPOOL)
解决VPN USER不能访问互联网的问题
3. 建立VPN地址池:ip local pool ipsecvpn 10.x.x.1-10.x.x.100

增加组策略:
group-policy ipsecvpn internal
group-policy ipsecvpn attributes

dns-server value 202.x.x.x


vpn-idle-timeout 30


vpn-tunnel-protocol IPSec

password-storage enable

ipsec-udp enable


ipsec-udp-port 10000


split-tunnel-policy tunnelspecified


split-tunnel-network-list value splitTunnelAcl


增加用户配置:
username ROvpn password 8AuExnRfion5nxeH encrypted privilege 15
username ROvpn attributes

vpn-group-policy ipsecvpn


vpn-tunnel-protocol IPSec


IPSEC配置:
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map ROvpn 10 set transform-set ESP-DES-MD5
crypto dynamic-map ROvpn 10 set reverse-route
crypto map ROvpn 65535 ipsec-isakmp dynamic ROvpn
crypto map ROvpn interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10

authentication pre-share


encryption des


hash md5


group 2


lifetime 86400

crypto isakmp policy 65535

authentication pre-share


encryption des


hash md5


group 2


lifetime 86400

crypto isakmp nat-traversal
20

crypto isakmp ipsec-over-tcp port 10000
crypto isakmp disconnect-notify

增加隧道属性:
tunnel-group ipsecvpn type ipsec-ra
tunnel-group ipsecvpn general-attributes

address-pool ipsecvpn


default-group-policy ipsecvpn

tunnel-group ipsecvpn ipsec-attributes

pre-shared-key *

 楼主| 发表于 2007-12-30 07:08:37 | 显示全部楼层
webvpn 部分

1、ASA基本配置。

ciscoasa(config)# int e0/0   
ciscoasa(config-if)# ip add 198.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside
ciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
ciscoasa(config-webvpn)# svc enable
!在外网接口上启动WebVPN,并且启动SVC(SSL VPN Client)功能
-----------------------------------------

2、SSL VPN准备工作。

ciscoasa(config)# ip local pool ssl-user 192.168.10.1-192.168.10.99
!创建SSL VPN用户地址池
!
ciscoasa(config)# access-list go-vpn permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0
ciscoasa(config)# nat (inside) 0 access-list go-vpn
!设置SSL VPN数据不作nat翻译
-----------------------------------------

3、WebVPN隧道组与策略组

ciscoasa(config)# group-policy mysslvpn-group-policy internal
!创建名为mysslvpn-group-policy的组策略
!
ciscoasa(config)# group-policy mysslvpn-group-policy attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# svc enable
  svc required
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl

ciscoasa(config-group-webvpn)# exit
ciscoasa(config-group-policy)# exit
ciscoasa(config)#
!在组策略中启SVC
!
ciscoasa(config-webvpn)# username steve6307 password cisco
!创建用户
!
ciscoasa(config)# username steve6307 attributes
ciscoasa(config-username)# vpn-group-policy mysslvpn-group-policy
ciscoasa(config-username)# exit
!赋予用户策略
!
ciscoasa(config)# tunnel-group mysslvpn-group type webvpn
ciscoasa(config)# tunnel-group mysslvpn-group general-attributes
ciscoasa(config-tunnel-general)# address-pool ssl-user
                                             default-group-policy mysslvpn-group-policy
ciscoasa(config-tunnel-general)# exit
!设置SSL VPN用户的地址池
!
ciscoasa(config)# tunnel-group mysslvpn-group webvpn-attributes
ciscoasa(config-tunnel-webvpn)#
                       
hic-fail-group-policy mysslvpn-group-policy
group-alias mysslvpn-group enable

ciscoasa(config-tunnel-webvpn)# exit
!
ciscoasa(config)# webvpn

enable outside
character-encoding gb2312
csd image disk0:/securedesktop-asa-3.1.1.29-k9.pkg
csd enable
svc image disk0:/sslclient-win-1.1.0.154.pkg 1
svc enable
ciscoasa(config-webvpn)# tunnel-group-list enable
-----------------------------------------

4、配置SSL VPN隧道分离(可选)。

ciscoasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
!注意源地址为ASA的inside网络地址,目标地址始终为any
!
ciscoasa(config)# group-policy mysslvpn-group-policy attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl

http 0.0.0.0 0.0.0.0 inside

no vpn-addr-assign aaa
no vpn-addr-assign dhcp


发表于 2008-2-26 12:46:18 | 显示全部楼层
还是没说清楚…… :@
 楼主| 发表于 2008-2-26 13:52:03 | 显示全部楼层
发这么大火做什么啊。慢慢来
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 08:39 , Processed in 0.087063 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表