时间:2021-07-01 10:21:17 帮助过:115人阅读
首先我们来回顾一下配置 VPN 的步骤: 1. 创建一个 IP 地址池用于客户端通过 VPN 隧道连接。此外,创建一个基本用户才能访问的 VPN 。命令如下: ASA ? NY ? HQ(config)#ip local pool vpnpool 192.168.4.10-192.168.4.100 ASA ? NY ? HQ(config)#username t
首先我们来回顾一下配置VPN的步骤:
1. 创建一个IP地址池用于客户端通过VPN隧道连接。此外,创建一个基本用户才能访问的 VPN 。命令如下:
ASA?NY?HQ(config)#ip local pool vpnpool 192.168.4.10-192.168.4.100
ASA?NY?HQ(config)#username toway password X2IJM9lm578rgFmR encrypted
2. 编写ACL,将走VPN隧道的流量不做NAT。命令如下:
ASA?NY?HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.100.0 255.255.255.0
ASA?NY?HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.4.0 255.255.255.0
ASA?NY?HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.102.0 255.255.255.0
ASA?NY?HQ(config)#access-list nonat extended permit ip 192.168.110.0
255.255.255.0 192.168.0.0 255.255.254.0
ASA?NY?HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.150.0 255.255.255.0
注:在这里特别要注意,如果我们防火墙上有多条网段不做 NAT我们都可以加在名为nonat的ACL列表里。因为在 ouside接口上应用的时候只能应用一组ACL,就是说我们不可以写nonat1,nonat2 再将这两条命令应用在ouside口上。
3. 针对需要走 L2L隧道加密的数据流,写控制访问列表。命令如下:
ASA?NY?HQ(config)#access-list outside_cryptomap_20_1 extended permit ip 192.168.0.0
255.255.254.0 192.168.100.0 255.255.255.0(到美国)
ASA?NY?HQ(config)#access-list outside_cryptomap_20_1 extended permit ip 192.168.0.0
255.255.254.0 192.168.102.0 255.255.255.0(到美国)
ASA?NY?HQ(config)#access-list outside_cryptomap_40 extended permit ip 192.168.0.0
255.255.254.0 192.168.150.0 255.255.255.0(到英国)
注:这些命令是允许远程用户(源)通过加密隧道能够访问的资源网段(目的)。当我们做的是点对多点的L2L的时候一定要注意,两端的设备定义的access-list的名字要互相匹配。而且同一个设备到不同分支的access-list的条目不可以相同。
4. 配置本地验证客户端的信息和策略,如:Wins、DNS和IPSec协议。命令如下:
ASA?NY?HQ(config)#group-policy sanying internal
ASA?NY?HQ(config)#group-policy sanying attributes
ASA?NY?HQ(config-group-policy)#vpn-idle-timeout 30
ASA?NY?HQ(config-group-policy)#split-tunnel-policy tunnelspecified
ASA?NY?HQ(config-group-policy)#split-tunnel-network-list value 102
ASA?NY?HQ(config-group-policy)#user-authentication enable
5. 配置IPSec的一般属性,如加密隧道需要用到的预共享密钥、地址池等。命令如下:
ASA?NY?HQ(config)#tunnel-group 81.149.118.151 type ipsec-l2l
ASA?NY?HQ(config)#tunnel-group 81.149.118.151 ipsec-attributes
ASA?NY?HQ(config?tunnel?ipsec)#pre-shared-key 1234567890
ASA?NY?HQ(config?tunnel?ipsec)#peer-id-validate nocheck
注:对于不同的Peer,可以使用不同pre-shared-key但是对端设备与本端互联的设备必须与这个pre-shared-key相同。
6. 建立控制访问列表,选择那些流量需要走VPN隧道。即配置隧道分离。命令如下:
ASA?NY?HQ(config)#group-policy sanying attributes
ASA?NY?HQ(config-group-policy)#vpn-idle-timeout 30
ASA?NY?HQ(config-group-policy)#split-tunnel-policy tunnelspecified
ASA?NY?HQ(config-group-policy)#split-tunnel-network-list value 102
ASA?NY?HQ(config-group-policy)#user-authentication enable
7. 配置VPN隧道所需要的加密视图,命令如下:
ASA?NY?HQ(config)#crypto map outside_map 40 set peer 81.149.118.151
ASA?NY?HQ(config)#crypto map outside_map 40 set transform-set myset
ASA?NY?HQ(config)#crypto map outside_map 40 set security-association lifetime
seconds 28800
ASA?NY?HQ(config)#crypto map outside_map 40 set security-association lifetime
kilobytes 4608000
ASA?NY?HQ(config)#crypto map outside_map interface outside
注:在配置点对多点的L2L时可以用号码来区分outside_map最后一起引用,也就是说在同一个interface下面只允许有一组加密视图。