转载——Cisco ASA5510防火墙IP secure 配置
小鳥前幾天遇到要修改防火墻超時時間和生命時間,特意找文檔看了下,現在分享給碰壁的童靴
原地址 :http://wenku.baidu.com/view/e8bda8c56137ee06eff918b0.html
?
?
?
?
?
??1、IPSECIPSEC ?VPN?
VPN 基本配置基本配置
?access-list nono--nat extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0? ? ?定義VPN數據流??
nat (inside) 0 access-list nono--nat ? ? ? ?設置IPSEC VPN數據不作nat翻譯 ?
?
ip local pool vpnvpn--pool 172.16.100.1-172.16.100.100 mask 255.255.255.0 ? ? ? ? ??劃分地址池,用于VPN用戶撥入之后分配的地址 ?
crypto ipsec transform-set vpnset esp-des esp-md5-hmac ? ? ? ? ? ? ? ? ? ? ? ? ??定義一個變換集myset,用esp-md5加密的??
?
crypto dynamic-map dymap 10 set transform-set vpnset ? ? ? ? ?把vpnset添加到動態加密策略dynmap??
?
crypto dynamic-map dymap 10 set reverse-route ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??設置路由反轉 ?
?
crypto map vpnmap 10 ipsec-isakmp dynamic dymapdymap ? ? ? ? ? ? ? ?把動態加密策略綁定到vpnmap動態加密圖上??
?
crypto map vpnmap interface outside ? ? ? ? ? ???把動態加密圖vpnmap綁定到outside口 ?
?
crypto isakmp identity address ??
crypto isakmp enable outside ? ? ? ? ? ? ?outside接口啟用isakmp
?
?
crypto isakmp policy 10 ? //進入isakmp的策略定義模式 ?
?
authentication pre-share ?//使用pre-shared key進行認證?
?encryption des ? ?//定義協商用DES加密算法(與前面對應,這里使用des,而不是3des)?
?hash md5 ? ??? ??//定義協商用md5加密算法(和前面一樣,網上使用的是sha,我這里為了配合前面的sp-md5-hmac,而使用md5) ?
?
group 2 ? ?//定義協商組為2,標準有1、2、3、5等多組,主要用于塊的大小和生命時間等?
?
?lifetime 86400 ? ? ??//定義生命時間???
?
group-policy whjt ?internal ?定義策略組(用于想進入的)想要運用策略組就必須用默認的策略組名,否則無法激活該組
?
group-policy whjt ?attributes ? ? ? ? //定義策略組屬性?
?
?vpn-idle-timeout 1800 ? ? ? ?//設置VPN超時時間為1800秒?? ?
?
tunnel-group whjt ?type ipsec-ra ? ??建立VPN 遠程登入(即使用隧道分離)組
?
?tunnel-group whjt ?general-attributes ???定義隧道組"whjt"屬性?
?address-pool vpn-pool ? ? 將VPN client地址池綁定到"whjt"隧道組
?
??username test ?password testtest ? ? ? ?設定用戶名和密碼?
?authentication-server-group (outside) LOCAL ? ? ? 本地認證服務組(本條命令沒用)?
?
?default-group-policy whjt ? ??? 默認策略組為whjt ?
?
tunnel-group whjt ?ipsec-attributes ? ??定義whjt組IPSec的屬性?
?
?pre-shared-key 730211 ? ??? 定義共享密鑰為:730211 ?
isakmp nat-traversal 20?
//每20秒向VPN對端發送一個包來防止中間PAT設備的PAT超時,就相當于路由器中的 isakmp keepalive threshold 20?
?
retry 2 ? ? ? ? ? ? ? ? ??在生存時間監控前,設備被允許空閑20秒,發現生存時間沒有響應后,2秒鐘內重試 ?
?
sysopt connection permit-vpn?
通過使用sysopt connect命令,我們告訴ASA準許SSL/IPsec客戶端繞過接口的訪問列表(未加此命令會出現可以ping能內網地址,但不能訪問內網服務,比如23、80等端口) ?
?
?
2、開啟隧道分離?
access-list vpvpnsplitnsplitnsplit ?standard permit 192.168.222.0 255.255.255.0 //注意源地址為ASA的inside網絡地址?
?
group-policy whjt ?attributes ?//定義策略組屬性?
?
split-tunnel-policy tunnelspecifiedtunnelspecified ? ?//建立隧道分離策略為tunnelspecified?
?
split-tunnel-network-list value vpnsplit ?//與vpnsplit匹配的網絡將全部使用隧道分離 注1:如要實現VPN用戶能ping通ASA的inside口,即192.168.222.1192.168.222.1,,可以可以在在防火墻中加入如下命令防火墻中加入如下命令:: ?
?
managementmanagement--access insideaccess inside ?
注2:如果遠程用戶上互聯網是通過nat方式上網方式上網((所有寬帶用戶都通過同一個公網IP訪問外部訪問外部),),那么通那么通過如下命令可穿越natnat:: crypto isakmp natcrypto isakmp nat--traversal 20 ?//缺省keepalives時間20秒 ??
?
?3、客戶端的配置
?
我使用的客戶端是Cisco VPN Client 5.0,配置如下圖: Host:ASA外網口IP,組賬號:whjt ,密碼:730211?
?
??
配置好后,連接VPN,會彈出下面對話框,輸入遠程用戶的用戶名和密碼,上例均為test?
ASA5510
?
test# sh run?
:?
Saved : ?
ASA Version 8.0(2)
??! ?
hostname test?
domain-name test.net?
enable password ? ?2KFQnbNIdI.2KYOU ?encrypted
? ? ?names
?! ?
interface Ethernet0/0 ?
? ?nameif outside ?
? ?security-level ?0?
? ?ip ?address 10.65.222.1 255.255.128.0
??! ?
interface Ethernet0/1 ?
? ? nameif inside?
? ?security-level 100?
? ip address 192.168.222.1 255.255.255.0
??! ?
interface Ethernet0/2 ?shutdown ?
? ?no nameif?
? ?no security-level?
? ? no ip address
?! ?
interface Ethernet0/3 ?shutdown ?
? ?no nameif?
? ?no security-level ?
? ? no ip address
?! ?
interface Management0/0 ?shutdown ??
? ? no nameif?
? ? no security-level ?
? ? no ip address
?! ?
passwd ? 2KFQnbNIdI.2KYOU?encrypted?
? ?ftp ? mode passive?
? ?dns ?server-group ? ?DefaultDNS
? ?domain-name test.net?
access-list 101 ?extended permit icmp any any?
access-list nono--nat ?extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0 ?
access-list vpnsplit ?standard permit 192.168.222.0 255.255.255.0?
?
?
?
pager ?lines ?24?
?mtu outside 1500?
?mtu inside 1500?
?
ip ?local ?pool ? ?vpn--pool ?172.16.100.1-172.16.100.100 ?mask 255.255.255.0?
? icmp ? unreachable ?rate-limit ?1 ?burst-size 1
? no asdm history enable
? ?arp timeout 14400?
global (outside) 1 10.65.222.100 ? ?netmask 255.255.128.0?
nat (inside) 0 ?access-list ? ?no--nat?
nat (inside) 1 0.0.0.0 0.0.0.0
?access-group 101 ? ? in interface outside?
route outside 0.0.0.0 0.0.0.0 10.65.156.27 1?
? timeout xlate 3:00:00?
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02?
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
?timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00?
timeout uauth 0:05:00 absolute?
dynamic-access-policy-record DfltAccessPolicy
?http 192.168.0.1 255.255.255.255 inside?
no ? snmp-server ? location?
no ? snmp-server ? contact?
snmp-server enable traps snmp authentication linkup linkdown coldstart?
?crypto ipsec transform-set vpnset ?esp-des esp-md5-hmac ?
?crypto dynamic-map dymap ?10 set transform-set vpnset?
?crypto dynamic-map dymap ?10 set reverse-route
?crypto map vpnmap ?10 ipsec-isakmp dynamic dymap
?crypto map vpnmavpnmapp ?interface outside?
?crypto isakmp identity address ?
? crypto isakmp enable outside?
? crypto isakmp enable inside
? crypto isakmp policy 10?
? ? ? ? ? ?authentication pre-share ?encryption des ?hash md5 ?group 2?
? ? ? ? ? ?lifetime 86400?
telnet 192.168.222.0 255.255.255.0 inside
?telnet timeout 5?
ssh 10.65.128.0 255.255.128.0 outside
?ssh 0.0.0.0 0.0.0.0 inside?
ssh timeout 60?
ssh version 1 console timeout 0?
management-access inside?
threat-detection basic-threat
?
?
?
?
threat-detection statistics access-list
?! ?
! ?
group-policy?whjt??internal
?group-policy?whjt??attributes?
? ? ???vpn-idle-timeout 1800 ? ? ? ? ? ? //我在實際中一般用3600000,時間長些不易掉線?
? ? ? split-tunnel-policy ? ?tunnelspecified?
? ? ? split-tunnel-network-list ? value vpnsplit?
username test ?password ? 4ttSyrm33SV8TYp ?encrypted
?tunnel-group whjt ?type remote-access
?tunnel-group whjt ?general-attributes?
? ? ? ? ?address-pool ? vpn--pool?
? ? ? ? ?default-group-policy?whjt?
tunnel-group?whjt? ? ipsec-attributes?
? ? ? ?pre-shared-key *?
isakmp keepalive threshold 20 retry 2??
??prompt hostname context ?
Cryptochecksum:6f13b4f4e5c0d5f0a08f0f86be414b16
?: end?
總結
以上是生活随笔為你收集整理的转载——Cisco ASA5510防火墙IP secure 配置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: MediaCoder字幕乱码问题
- 下一篇: PDF怎么压缩大小,一分钟学会