第一步:建立一个地址池.
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,
不过如果你有DHCP服务器,还可以使用DHCP服务器.
asa5510(config)# ip local pool ***pool 192.168.10.100-192.168.10.199 mask 255.255.255.0
第二步:建立IKE第一阶段。
asa5510(config)# isakmp policy 1
asa5510(config-isakmp-policy)# authentication pre-share
asa5510(config-isakmp-policy)# encryption 3des
asa5510(config-isakmp-policy)# hash sha
asa5510(config-isakmp-policy)# group 2
asa5510(config-isakmp-policy)# lifetime 43200
asa5510(config-isakmp-policy)# exit
第三步:将IKE第一阶段应用在outside接口上面.
asa5510(config)# isakmp enable outside
第四步:定义转换集
asa5510(config)# crypto ipsec transform-set ***set esp-3des esp-sha-hmac
这里设置的转换集名字为***set.
第五步:动态加密映射配置
asa5510(config)# crypto dynamic-map outside-dyn-map 10 set transform-set ***set
asa5510(config)# crypto dynamic-map outside-dyn-map 10 set reverse-route
asa5510(config)# crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
第六步:在静态加密映射中调用动态加密映射并应用在接口上面
asa5510(config)# crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
asa5510(config)# crypto map outside-map interface outside
第七步:NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量.ESP是一个三层的包,只有协议号,没有端口号,
当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,
这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
asa5510(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
asa5510(config)# sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为***client的组策略.
asa5510(config)# group-policy ***client internal
asa5510(config)# group-policy ***client attributes
asa5510(config-group-policy)# dns-server value 202.96.134.133
asa5510(config-group-policy)# ***-tunnel-protocol ipsec
asa5510(config-group-policy)# default-domain yan.com
asa5510(config-group-policy)# exit
第十步:遂道组的建立以属性的设置
asa5510(config)# tunnel-group ***client type ipsec-ra
asa5510(config)# tunnel-group ***client ipsec-attributes
asa5510(config-tunnel-ipsec)# pre-shared-key cisco123
asa5510(config-tunnel-ipsec)# exit
asa5510(config)# tunnel-group ***client general-attributes
asa5510(config-tunnel-general)# authentication-server-group LOCAL
asa5510(config-tunnel-general)# default-group-policy ***client
asa5510(config-tunnel-general)# address-pool ***pool
asa5510(config-tunnel-general)# exit
而在这里***client就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码.
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备.在此,我们要创建一个用户并且将此用户指派给我们的远程访问×××:
asa5510(config)# username yan password yan123
asa5510(config)# username yan attributes
asa5510(config-username)# ***-group-policy ***client
asa5510(config-username)# exit
第十二步:配置NAT免除
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT).
首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
asa5510(config)# access-list no-nat extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
asa5510(config)# nat (inside) 0 access-list no-nat
第十三步:遂道分离设置
asa5510(config)#access-list ***client_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0
asa5510(config)# group-policy ***client attributes
asa5510(config-group-policy)# split-tunnel-policy tunnelspecified
asa5510(config-group-policy)# split-tunnel-network-list value ***client_splitTunnelAcl
asa5510(config-group-policy)# end
第十四步:保存
asa5510#write memory
好了,上面设置就差不多了.那么我们现在来用Cisco *** Client来拨号试试看.
到此为止我们在Cisco ASA防火墙上面配置Remote ×××就已经到此为止了.