資源描述:
《asa5510防火墻vpn配置》由會員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1�����、WORD格式編輯整理ASA5510防火墻remoteipsecvpn配置???1�、IPSEC?VPN基本配置access-listno-natextendedpermitip192.168.222.0255.255.255.0172.16.100.0255.255.255.0//定義VPN數(shù)據(jù)流nat(inside)0access-listno-nat//設(shè)置IPSECVPN數(shù)據(jù)不作nat翻譯?專業(yè)知識分享WORD格式編輯整理iplocalpoolvpn-pool172.16.100.1-172.16.100.100mask255.255.255.0//劃分地址池���,用于VPN用
2、戶撥入之后分配的地址�����。?cryptoipsectransform-setvpnsetesp-desesp-md5-hmac//定義一個變換集myset����,用esp-md5加密的。(網(wǎng)上一般都是用esp-3desesp-sha-hmac或esp-des?esp-sha-hmac����,而我使用的防火墻沒開啟3des,所以只能使用esp-des��;至于esp-sha-hmac��,不知為什么��,使用它隧道組始終無法連接上�,所以改用esp-md5-hmac。具體原因不清楚�����。)(補(bǔ)充:后來利用ASA5520防火墻做了關(guān)于esp-3desesp-sha-hmac加密的測試��,成功���!)cryptodynam
3�、ic-mapdymap10settransform-setvpnset//把vpnset添加到動態(tài)加密策略dynmapcryptodynamic-mapdymap10setreverse-routecryptomapvpnmap10ipsec-isakmpdynamicdymap//把動態(tài)加密策略綁定到vpnmap動態(tài)加密圖上cryptomapvpnmapinterfaceoutside//把動態(tài)加密圖vpnmap綁定到outside口專業(yè)知識分享WORD格式編輯整理cryptoisakmpidentityaddresscryptoisakmpenableoutside//ou
4�����、tside接口啟用isakmp?cryptoisakmppolicy10//進(jìn)入isakmp的策略定義模式?authenticationpre-share?//使用pre-sharedkey進(jìn)行認(rèn)證?encryptiondes//定義協(xié)商用DES加密算法(與前面對應(yīng)�����,這里使用des����,而不是3des)?hashmd5//定義協(xié)商用md5加密算法(和前面一樣,網(wǎng)上使用的是sha�����,我這里為了配合前面的esp-md5-hmac����,而使用md5)?group2//定義協(xié)商組為2��,標(biāo)準(zhǔn)有1�����、2�、3�、5等多組,主要用于塊的大小和生命時間等專業(yè)知識分享WORD格式編輯整理?lifetime864
5��、00//定義生命時間?group-policywhjtinternal//定義策略組(用于想進(jìn)入的)想要運(yùn)用策略組就必須用默認(rèn)的策略組名��,否則無法激活該組����。group-policywhjtattributes//定義策略組屬性?vpn-idle-timeout1800//設(shè)置VPN超時時間為1800秒??tunnel-groupwhjttypeipsec-ra//建立VPN遠(yuǎn)程登入(即使用隧道分離)組tunnel-groupwhjtgeneral-attributes//定義隧道組"whjt"屬性專業(yè)知識分享WORD格式編輯整理?address-poolvpn-pool//將V
6、PNclient地址池綁定到"whjt"隧道組?usernametestpasswordtest//設(shè)定用戶名和密碼?authentication-server-group(outside)LOCAL//本地認(rèn)證服務(wù)組(本條命令沒用)?default-group-policywhjt//默認(rèn)策略組為whjttunnel-groupwhjtipsec-attributes//定義whjt組IPSec的屬性?pre-shared-key730211//定義共享密鑰為:730211isakmpnat-traversal20//每20秒向VPN對端發(fā)送一個包來防止中間PAT設(shè)備的PAT
7��、超時�����,就相當(dāng)于路由器中的專業(yè)知識分享WORD格式編輯整理isakmpkeepalivethreshold20retry2??在生存時間監(jiān)控前����,設(shè)備被允許空閑20秒�����,發(fā)現(xiàn)生存時間沒有響應(yīng)后,2秒鐘內(nèi)重試sysoptconnectionpermit-vpn//通過使用sysoptconnect命令���,我們告訴ASA準(zhǔn)許SSL/IPsec客戶端繞過接口的訪問列表(未加此命令會出現(xiàn)可以ping能內(nèi)網(wǎng)地址�����,但不能訪問內(nèi)網(wǎng)服務(wù)��,比如23���、80等端口。)??2�����、開啟隧道分離access-listvpnspl
