Cisco ASA防火牆實現遠程訪問虛擬專用網——Easy虛擬專用網（解決出差員工訪問內網的問題）

在Cisco ASA防火牆上配置遠程訪問虛擬專用網（Easy 虛擬專用網）原理和路由器同樣，對Easy 虛擬專用網原理不清楚的朋友能夠參考博文Cisco路由器實現遠程訪問虛擬專用網——Easy虛擬專用網（解決出差員工訪問內網的問題） 在路由器上配置和在防火牆上配置終歸仍是會區別的。這裏就直接開始配置了，再也不詳細的介紹了！

在防火牆上實現IPSec 虛擬專用網技術能夠參考博文Cisco ASA防火牆實現IPSec 虛擬專用網，可跟作！！！

1、案例環境

因爲模擬器的緣由，致使防火牆不能和終端設備相連，因此中間放了一個交換機！

2、案例需求

（1）用戶經過Easy 虛擬專用網經過域名（www.yinuo.com） 訪問內部的網站；
（2）用戶經過域名（www.xiaojiang.com） 正常訪問公網上的網站；
（3）用戶根據拓補圖的要求，自行配置IP地址及相應的服務；

3、案例實施

（1）網關ASA防火牆的配置：

ASA(config)# int e0/0 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# ip add 100.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# exit
ASA(config)# route outside 0 0 100.1.1.2                      //配置IP地址，並設置默認網關
ASA(config)# username lvzhenjiang password jianjian
//防禦牆默認已經啓用AAA，並且是經過本地驗證，因此直接設置用戶名和密碼便可
ASA(config)# crypto isakmp enable outside             //啓用ISAKMP/IKE協議
ASA(config)# crypto isakmp policy 10
ASA(config-isakmp-policy)# encryption 3des
ASA(config-isakmp-policy)# hash sha
ASA(config-isakmp-policy)# authentication pre-share 
ASA(config-isakmp-policy)# group 2
ASA(config-isakmp-policy)# exit

階段1配置完成！

ASA(config)# ip local pool lv-pool 192.168.2.10-192.168.2.50
//配置地址池，向虛擬專用網客戶端分發IP地址（不可和內網的IP地址爲同一網段）
ASA(config)# access-list lv-acl permit ip 192.168.1.0 255.255.255.0 any
//定義一個命名的ACL用於容許192.168.1.0去往任何地址，當推送到客戶端時，就會反過來
//變成了容許任何IP地址訪問192.168.1.0。由於這裏的源地址是站在路由器的角度的
ASA(config)# group-policy lv-group internal
//定義策略並放置在本地（external表示定義在別的AAA服務器上）
ASA(config)# group-policy lv-group attributes               //定義用戶組的屬性
ASA(config-group-policy)# dns-server value 192.168.1.100
//定義發佈給客戶端的DNS服務器地址
ASA(config-group-policy)# address-pool value lv-pool
//調用剛纔定義的地址池
ASA(config-group-policy)# split-tunnel-policy tunnelspecified 
//關於上面的「split-tunnel-policy」後面能夠接三種類型的規則，以下：
* tunnelspecified表示全部匹配的流量走隧道，我這裏選擇的就是這個；
* tunnelall：全部流量必須走隧道，即不作分離隧道，這是默認設置，通常不使用該選項；
* excludespecified：全部不匹配ACL的流量走隧道，不推薦使用此選項；
ASA(config-group-policy)# split-tunnel-network-list value lv-acl
//調用剛纔定義的ACL
ASA(config-group-policy)# exit
ASA(config)# tunnel-group lv-group type ipsec-ra                  //指定隧道組的類型是遠程訪問  
ASA(config)# tunnel-group lv-group general-attributes          //配置隧道組的屬性
ASA(config-tunnel-general)# address-pool lv-pool                //調用剛纔定義的地址池
ASA(config-tunnel-general)# default-group-policy lv-group        //調用用戶組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group lv-group ipsec-attributes                  //定義隧道組名稱
ASA(config-tunnel-ipsec)# pre-shared-key lv-key                      //定義隧道組密碼
ASA(config-tunnel-ipsec)# exit

階段1.5配置完成

ASA(config)# crypto ipsec transform-set lv-set esp-3des esp-sha-hmac             
//定義傳輸集名稱，及加密驗證的方式
ASA(config)# crypto dynamic-map lv-dymap 1 set transform-set lv-set
//定義動態map名稱爲lv-dymap，優先級爲1，並調用剛纔定義的傳輸集
ASA(config)# crypto map lv-stamap 1000 ipsec-isakmp dynamic lv-dymap
//定義靜態map，優先級爲1000 ，調用動態map
ASA(config)# crypto map lv-stamap int outside
//將靜態map應用到網關鏈接外網的接口上

階段2配置完成

（2）客戶端用於測試

這裏使用windows 7系統進行測試！若是使用windows 10系統的朋友，安裝客戶端工具時，會相對麻煩一些，能夠參考博文Windows 10系統安裝虛擬專用網客戶端工具

接下來無腦下一步便可！安裝完成以後





鏈接成功後，查看生成的虛擬專用網的IP地址


訪問公司內部、公網的服務器測試訪問！


訪問成功！

———————— 本文至此結束，感謝閱讀 ————————