Cisco ASA防火墻實現遠程訪問虛擬專用網——Easy虛

在Cisco ASA防火墻上配置遠程訪問虛擬專用網（Easy 虛擬專用網）原理和路由器一樣，對Easy 虛擬專用網原理不清楚的朋友可以參考博文Cisco路由器實現遠程訪問虛擬專用網——Easy虛擬專用網（解決出差員工訪問內網的問題） 在路由器上配置和在防火墻上配置終歸還是會區別的。這里就直接開始配置了，不再詳細的介紹了！

在防火墻上實現IPSec 虛擬專用網技術可以參考博文Cisco ASA防火墻實現IPSec 虛擬專用網，可跟做！！！

一、案例環境

由于模擬器的原因，導致防火墻不能和終端設備相連，所以中間放了一個交換機！

二、案例需求

（1）用戶通過Easy 虛擬專用網通過域名（www.yinuo.com） 訪問內部的網站；
（2）用戶通過域名（www.xiaojiang.com） 正常訪問公網上的網站；
（3）用戶根據拓補圖的要求，自行配置IP地址及相應的服務；

三、案例實施

（1）網關ASA防火墻的配置：

ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址，并設置默認網關
ASA(config)# username lvzhenjiang password jianjian
//防護墻默認已經啟用AAA，而且是通過本地驗證，所以直接設置用戶名和密碼即可
ASA(config)# crypto isakmp enable outside             //啟用ISAKMP/IKE協議
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

階段1配置完成！

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池，向虛擬專用網客戶端分發IP地址（不可和內網的IP地址為同一網段）
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定義一個命名的ACL用于允許192.168.1.0去往任何地址，當推送到客戶端時，就會反過來
//變成了允許任何IP地址訪問192.168.1.0。因為這里的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定義策略并放置在本地（external表示定義在別的AAA服務器上）
ASA(config)# group-policy lv-group attributes               //定義用戶組的屬性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定義發布給客戶端的DNS服務器地址
ASA(config-group-policy)# address-pool value lv-pool
//調用剛才定義的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//關于上面的“split-tunnel-policy”后面可以接三種類型的規則，如下：
* tunnelspecified表示所有匹配的流量走隧道，我這里選擇的就是這個；
* tunnelall：所有流量必須走隧道，即不做分離隧道，這是默認設置，一般不使用該選項；
* excludespecified：所有不匹配ACL的流量走隧道，不推薦使用此選項；
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//調用剛才定義的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道組的類型是遠程訪問  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道組的屬性
ASA(config-tunnel-general)# address-pool lv-pool                //調用剛才定義的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //調用用戶組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定義隧道組名稱
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定義隧道組密碼
ASA(config-tunnel-ipsec)# exit

階段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定義傳輸集名稱，及加密驗證的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定義動態map名稱為lv-dymap，優先級為1，并調用剛才定義的傳輸集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定義靜態map，優先級為1000 ，調用動態map
ASA(config)# crypto map lv-stamap int outside
//將靜態map應用到網關連接外網的接口上

階段2配置完成

（2）客戶端用于測試

這里使用windows 7客戶端工具 進行測試！如果使用windows 10系統的朋友，安裝客戶端工具時，會相對麻煩一些，可以參考博文Windows 10系統安裝虛擬專用網客戶端工具

接下來無腦下一步即可！安裝完成之后





連接成功后，查看生成的虛擬專用網的IP地址


訪問公司內部、公網的服務器測試訪問！


訪問成功！

———————— 本文至此結束，感謝閱讀 ————————