ASA防火墙的远程×××（Ez***）

       接着上篇路由器的Ez***，下面实验中模拟ASA防火墙的远程***。远程移动用户通过cisco *** client连上总部内网进行资源访问。如下拓扑图：

实验配置：

R1>en
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#int e1/0
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#
R1(config-if)#end
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R1(config)#
R1(config)#end
R1#
=========================防火墙====================================

lwmfw# conf t

lwmfw(config)#

lwmfw(config)# int e0/0

lwmfw(config-if)# no sh

lwmfw(config-if)# security-level 100

lwmfw(config-if)# nameif inside

lwmfw(config-if)# ip add 192.168.1.2 255.255.255.0

lwmfw(config-if)# int e0/1

lwmfw(config-if)# no sh

lwmfw(config-if)# security-level 0

lwmfw(config-if)# nameif outside

lwmfw(config-if)# ip add 118.97.225.242 255.255.255.252

lwmfw(config-if)# end

lwmfw(config)# host lwmfw

lwmfw(config)# access-list 101 permit icmp any any

lwmfw(config)# access-list 101 permit ip any any

lwmfw(config)# access-group 101 in interface outside

lwmfw(config)# route outside 0.0.0.0 0.0.0.0 118.97.225.241

lwmfw(config)# route inside 172.16.16.0 255.255.255.0 192.168.1.1

lwmfw(config)# crypto isakmp policy 10

lwmfw(config-isakmp-policy)# authentication pre

lwmfw(config-isakmp-policy)# en 3des

lwmfw(config-isakmp-policy)# hash sha

lwmfw(config-isakmp-policy)# group 2

lwmfw(config-isakmp-policy)# exit

lwmfw(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac

lwmfw(config)# crypto dynamic-map liwenming 10 set transform-set myset

lwmfw(config)# crypto map liwenming1 20 ipsec-isakmp dynamic liwenming

lwmfw(config)# crypto isakmp enable outside

lwmfw(config)# crypto map liwenming1 interface outside

lwmfw(config)# ip local pool remote*** 192.168.100.100-192.168.100.200
lwmfw(config)# access-list split_tunnel_list extended permit ip 172.16.16.0 255.255.255.0 隧道分离

配置用户组策略

lwmfw(config)# group-policy limingya internal

lwmfw(config)# group-policy limingya attributes                     

lwmfw(config-group-policy)# address-pools value remote***

lwmfw(config-group-policy)# dns-server value 202.103.24.68

lwmfw(config-group-policy)# split-tunnel-policy tunnelspecified

lwmfw(config-group-policy)# split-tunnel-network-list value split_tunnel_list
配置用户隧道信息

lwmfw(config-group-policy)# tunnel-group limingya1 type ipsec-ra

lwmfw(config)# tunnel-group limingya1 general-attributes

lwmfw(config-tunnel-general)# default-group-policy limingya1

lwmfw(config-tunnel-general)# exit

lwmfw(config)# tunnel-group limingya1 ipsec-attributes

lwmfw(config-tunnel-ipsec)# pre-shared-key limingya1

lwmfw(config-tunnel-ipsec)# exit

创建远程用户名和密码

lwmfw(config)# username liwenming password liwenming

lwmfw(config)# end

lwmfw#

NAT和访问控制

lwmfw(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool

lwmfw(config)# access-list 102 extended permit ip host 172.16.16.2 any

lwmfw(config)# nat (inside) 1 access-list 102 对列表102的主机NAT转换
NAT绕过***

lwmfw(config)#access-list nonat extended permit ip 172.16.16.0 255.255.255.0 192.168.100.0                255.255.255.0

lwmfw(config)# nat (inside) 0 access-list nonat

======================================R2=========================================
R2#conf t
R2(config)#
R2(config)#int e1/1
R2(config-if)#ino sh

R2(config-if)#ip add 202.1.1.1 255.255.255.0
R2(config-if)#int lo 0
R2(config-if)#no sh
R2(config-if)#ip add
R2(config-if)#ip add 2.2.2.2 255.255.255.0 -配置环回口测试外网
R2(config-if)#end
R2#

 

远程客户端连接调试：

客户端成功连接到总部ASA防火墙。获得ip为192.168.100.100。下面测试客户端访问总部内部服务器资源，由于时间原因，本文以mstsc远程桌面连接到总部一台服务器进行测试。如下图：测试远程客户端与服务器的连通性，由下图中知，通信正常

 

现在测试远程桌面连接：

 

远程客户端远程桌面登录到了总部服务器，正常访问

下面我们来测试远程用户连接到了总部网络后，能否正常访问外网

说明：远程用户访问外网正常，这其中用到了Tunnel split隧道分离，Tunnel split 解决了远程用户既可以上网又可以通过×××访问公司内网服务器通过定义一个ACL的方式来向远程客户端指明哪个内部网络是需要加密访问的，其他的正常明文通信

没有隧道分离是无法正常访问外网的

下面简单调试下防火墙，查看下NAT及IKE：

成功激活一个IKE  SA ，IKE peer为202.1.1.2，主机172.16.16.2,NAT匹配成功