ASA配置×××代理

時間  2021-08-13
標籤 網絡 ide spa 3d 代理 orm server blog dns 接口 欄目 系統網絡 简体版
原文   原文鏈接

某單位在國外有×××遠程接入站點,使用的是ASA,配置的是EASY ×××。爲方便單位國內用戶查閱某些國外站點,須要經過接入遠程×××後進行訪問。說白了就是」fan牆」網絡

原理很簡單,就是將須要代理的流量引入到×××隧道中去(本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中能夠使用 split-tunnel-policy tunnelspecified並指定須要引導流量的ACL)ide

拓撲spa

1

此配置基於ASA 8.2版本,基礎配置和easy ***配置不詳細解釋了,網上不少3d

1.基礎配置代理

配置接口orm

interface GigabitEthernet0/0    
nameif internet    
security-level 0    
ip address x.x.x.x 255.255.255.224server

interface GigabitEthernet0/2    
nameif inside    
security-level 100    
ip address 10.11.254.17 255.255.255.240 blog

配置路由dns

route internet 0.0.0.0 0.0.0.0 x.x.x.x    
route inside 10.11.1.0 255.255.255.0 10.11.254.30接口

配置NAT

access-list to-internet extended permit ip 10.11.1.0 255.255.255.0 any

nat (inside) 1 access-list to-internet    
global (internet) 1 interface


2.EASY ×××配置

IKE一階段策略

crypto isakmp policy 10    
authentication pre-share    
encryption 3des    
hash md5    
group 2

IKE二階段策略  
crypto ipsec transform-set ***.tran esp-3des esp-sha-hmac

動態map  
crypto dynamic-map ***.dymap 10 set transform-set ***.tran

調用map  
crypto map ***.map 10 ipsec-isakmp dynamic ***.dymap

將map應用到接口  
crypto map ***.map interface internet

不要忘記啓用isakmp  
crypto isakmp enable internet

定義×××客戶端地址池

ip local pool ez***.pool 10.11.10.1-10.11.10.254 mask 255.255.255.0

定義tunnel-group

tunnel-group proxy.*** type remote-access    
tunnel-group proxy.*** general-attributes    
address-pool ez***.pool    
default-group-policy proxy.***.policy

定義group-policy

group-policy proxy.***.policy internal    
group-policy proxy.***.policy attributes      
***-tunnel-protocol IPSec      
password-storage enable

配置nat旁路,用於***客戶端正常發訪問遠程內部網絡

access-list bypass extended permit ip 10.11.0.0 255.255.0.0 10.0.0.0 255.0.0.0

nat (inside) 0 access-list bypass

3.隧道代理配置

same-security-traffic permit intra-interface     //因爲會話須要從internet接口流進並流出,對於ASA來講默認不容許,須要手動修改

nat (internet) 1 10.11.10.0 255.255.255.0     //***客戶端地址段須要在internet接口上nat成合法地址,注意此段地址須要定義在外部接口(internet)上,由於源地址是指抵達外接口的解封后的源地址,即由ip local pool定義的分配給***客戶端的地址


group-policy proxy.***.policy attributes      //修改ez***組策略屬性
dns-server value 8.8.8.8                              //爲×××客戶端指定DNS,最好是國外的      
split-tunnel-policy tunnelall                 //將全部與流量引入到×××隧道,本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中能夠使用 split-tunnel-policy tunnelspecified並指定須要引導流量的ACL

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程