資源描述:
《asa5510防火墻remote_ipsec_vpn配置》由會員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、ASA5510防火墻remoteipsecvpn配置???1����、IPSEC?VPN基本配置access-listno-natextendedpermitip192.168.222.0255.255.255.0172.16.100.0255.255.255.0//定義VPN數(shù)據(jù)流nat(inside)0access-listno-nat//設(shè)置IPSECVPN數(shù)據(jù)不作nat翻譯?iplocalpoolvpn-pool172.16.100.1-172.16.100.100mask255.255.255.0//劃分地址池,用于VPN用戶撥入之后分配的地址����。?crypto
2、ipsectransform-setvpnsetesp-desesp-md5-hmac//定義一個(gè)變換集myset��,用esp-md5加密的����。(網(wǎng)上一般都是用esp-3desesp-sha-hmac或esp-des?esp-sha-hmac,而我使用的防火墻沒開啟3des����,所以只能使用esp-des;至于esp-sha-hmac��,不知為什么�,使用它隧道組始終無法連接上,所以改用esp-md5-hmac����。具體原因不清楚。)(補(bǔ)充:后來利用ASA5520防火墻做了關(guān)于esp-3desesp-sha-hmac加密的測試�,成功!)cryptodynamic-mapdyma
3����、p10settransform-setvpnset//把vpnset添加到動態(tài)加密策略dynmapcryptodynamic-mapdymap10setreverse-routecryptomapvpnmap10ipsec-isakmpdynamicdymap//把動態(tài)加密策略綁定到vpnmap動態(tài)加密圖上cryptomapvpnmapinterfaceoutside//把動態(tài)加密圖vpnmap綁定到outside口cryptoisakmpidentityaddresscryptoisakmpenableoutside//outside接口啟用isakmp?cr
4、yptoisakmppolicy10//進(jìn)入isakmp的策略定義模式?authenticationpre-share?//使用pre-sharedkey進(jìn)行認(rèn)證?encryptiondes//定義協(xié)商用DES加密算法(與前面對應(yīng)��,這里使用des���,而不是3des)?hashmd5//定義協(xié)商用md5加密算法(和前面一樣��,網(wǎng)上使用的是sha����,我這里為了配合前面的esp-md5-hmac�����,而使用md5)?group2//定義協(xié)商組為2,標(biāo)準(zhǔn)有1����、2、3����、5等多組,主要用于塊的大小和生命時(shí)間等?lifetime86400//定義生命時(shí)間?group-policywhj
5���、tinternal//定義策略組(用于想進(jìn)入的)想要運(yùn)用策略組就必須用默認(rèn)的策略組名��,否則無法激活該組�。group-policywhjtattributes//定義策略組屬性?vpn-idle-timeout1800//設(shè)置VPN超時(shí)時(shí)間為1800秒??tunnel-groupwhjttypeipsec-ra//建立VPN遠(yuǎn)程登入(即使用隧道分離)組tunnel-groupwhjtgeneral-attributes//定義隧道組"whjt"屬性?address-poolvpn-pool//將VPNclient地址池綁定到"whjt"隧道組?usernamete
6���、stpasswordtest//設(shè)定用戶名和密碼?authentication-server-group(outside)LOCAL//本地認(rèn)證服務(wù)組(本條命令沒用)?default-group-policywhjt//默認(rèn)策略組為whjttunnel-groupwhjtipsec-attributes//定義whjt組IPSec的屬性?pre-shared-key730211//定義共享密鑰為:730211isakmpnat-traversal20//每20秒向VPN對端發(fā)送一個(gè)包來防止中間PAT設(shè)備的PAT超時(shí)��,就相當(dāng)于路由器中的isakmpkeepaliv
7���、ethreshold20retry2??在生存時(shí)間監(jiān)控前,設(shè)備被允許空閑20秒,發(fā)現(xiàn)生存時(shí)間沒有響應(yīng)后��,2秒鐘內(nèi)重試sysoptconnectionpermit-vpn//通過使用sysoptconnect命令����,我們告訴ASA準(zhǔn)許SSL/IPsec客戶端繞過接口的訪問列表(未加此命令會出現(xiàn)可以ping能內(nèi)網(wǎng)地址�����,但不能訪問內(nèi)網(wǎng)服務(wù)�����,比如23�����、80等端口�����。)??2����、開啟隧道分離access-listvpnsplitstandardpermit192.168.222.0255.255.255.0//注意源地址為ASA的inside網(wǎng)絡(luò)地址group-policywh
8、jtattributes
