首页 > 网络 > 其他 > 正文
Cisco防火墙ASA-EZVPN配置
2017-06-19       个评论    来源:木子涵Blog 的BLOG   
收藏    我要投稿

Cisco防火墙ASA-EZVPN配置

Easy VPN也叫做EZVPN,是Cisco为远程用户、分支办公室提供的一种远程访问VPN解决方案,EzVPN提供了中心的VPN管理,动态的策略分发,降低了远程访问VPN部署的复杂程度,并且增加了扩展和灵活性。


Easy VPN特点介绍:

1. Easy VPN是Cisco私有技术,只能运用在Cisco设备。
2. Easy VPN适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专卖店或者彩票点。
3. Easy VPN在中心站点配置策略,并且当客户连接的时候推送给客户,降低了分支站点的管理压力。

Easy VPN中心站点管理的内容:
1. 协商的隧道参数,例如:地址,算法和生存时间。
2. 使用已配置的参数建立隧道。
3. 动态的为硬件客户端配置NAT或者PAT地址转换。
4. 使用组,用户和密码认证客户
5. 管理加解密密钥。
6. 验证,加解密隧道数据。

 

ASA8.4之后部分IKEv1的vpn和之前8.0.3时代的配置几乎是一样的,仅仅只是增加了一个ikev1的关键字。下面我就ASA8.4部分IKEv1的EzVPN配置进行一下介绍
拓扑图:
wKioL1lDa0-CVH_oAACtar8KJDU400.png-wh_50

ASAIKEv1 EzVPN配置:
-----------------------基本网络----------------------------
ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 123.123.1.10 255.255.255.0

ASA(config-if)# interface Ethernet0/1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 10.254.254.1 255.255.255.252

ASA(config)# route outside 0.0.0.0 0.0.0.0 123.123.1.1
ASA(config)# route Inside 10.10.1.0 10.254.254.2(仅仅只为解密后流量运用这条目的路由访问内网资源)
-----------------------EzVPN crypto策略----------------------------
ASA(config)# crypto ikev1 enable outside
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2

ASA(config)# crypto ipsec ikev1 transform-set ezset esp-des esp-md5-hmac

ASA(config)# crypto dynamic-map ezdymap 10 set ikev1 transform-set ezset
ASA(config)# crypto dynamic-map ezdymap 10 set reverse-route
ASA(config)# crypto map ezvpnmap 10 ipsec-isakmp dynamic ezdymap
ASA(config)# crypto map ezvpnmap interface Outside

ASA(config)# tunnel-group ezvpngroup typeremote-access
ASA(config)# tunnel-group ezvpngroup ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key ccieccie

-----------------------EzVPN 用户VPN策略----------------------------

定义隧道分离:
ASA(config)# access-list ezSplit permit ip 10.10.1.0 255.255.255.0 any

 

定义地址池:
ASA(config)# ip local pool ezvpnpool 10.253.254.10-10.253.254.254

ASA(config)# group-policy ezvpn-group-policy internal (在group-policy下调用所有用户VPN策略)
ASA(config)# group-policy ezvpn-group-policy attributes
ASA(config-group-policy)# address-pools value ezvpnpool
ASA(config-group-policy)# split-tunnel-policy tunnel specified
ASA(config-group-policy)# split-tunnel-network-list value ezSplit

ASA(config)# username ezvpn password cisco
ASA(config)# username ezvpn attributes (关联group-policy到用户)
ASA(config-username)# vpn-group-policy ezvpn-group-policy

 

配置NAT豁免:

object network local-vpn-traffic

subnet 10.10.0.0 255.255.0.0

object network remote-vpn-traffic

subnet 10.253.254.0 255.255.255.0

nat (inside,outside) source static local-vpn-trafficlocal-vpn-traffic destination static remote-vpn-traffic remote-vpn-traffic

VPNClient配置:

wKioL1lDbibiQzFlAAB_o_rJ118543.png-wh_50

点击复制链接 与好友分享!回本站首页
上一篇:pfsense修改PPPoE拨号总数
下一篇:最后一页
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 |
版权所有: 88bifa.com--致力于做实用的IT技术学习网站