首先我们来回顾一下配置 VPN 的步骤: 1. 创建一个 IP 地址池用于客户端通过 VPN 隧道连接。此外,创建一个基本用户才能访问的 VPN 。命令如下: ASA ? NY ? HQ(config)#ip local pool vpnpool 192.168.4.10-192.168.4.100 ASA ? NY ? HQ(config)#username t
首先我们来回顾一下配置 VPN 的步骤:
1. 创建一个 IP 地址池用于客户端通过 VPN 隧道连接。此外,创建一个基本用户才能访问的 VPN 。命令如下:
ASA ? NY ? HQ(config)#ip local pool vpnpool 192.168.4.10-192.168.4.100
ASA ? NY ? HQ(config)#username toway password X2IJM9lm578rgFmR encrypted
2. 编写 ACL ,将走 VPN 隧道的流量不做 NAT 。命令如下:
ASA ? NY ? HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.100.0 255.255.255.0
ASA ? NY ? HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.4.0 255.255.255.0
ASA ? NY ? HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.102.0 255.255.255.0
ASA ? NY ? HQ(config)#access-list nonat extended permit ip 192.168.110.0
255.255.255.0 192.168.0.0 255.255.254.0
ASA ? NY ? HQ(config)#access-list nonat extended permit ip 192.168.0.0
255.255.254.0 192.168.150.0 255.255.255.0
注:在这里特别要 注意 ,如果我们 防火墙 上有多条网段不做 NAT 我们都可以加在名为 nonat 的 ACL 列表里。因为在 ouside 接口上应用的时候只能应用一组 ACL ,就是说我们不可以写 nonat1 , nonat2 再将这两条命令应用在 ouside 口上。
3. 针对需要走 L2L 隧道加密的数据流,写控制访问列表。命令如下:
ASA ? NY ? HQ(config)#access-list outside_cryptomap_20_1 extended permit ip 192.168.0.0
255.255.254.0 192.168.100.0 255.255.255.0 (到美国)
ASA ? NY ? HQ(config)#access-list outside_cryptomap_20_1 extended permit ip 192.168.0.0
255.255.254.0 192.168.102.0 255.255.255.0 (到美国)
ASA ? NY ? HQ(config)#access-list outside_cryptomap_40 extended permit ip 192.168.0.0
255.255.254.0 192.168.150.0 255.255.255.0 (到英国)
注:这些命令是允许远程用户(源)通过加密隧道能够访问的资源网段(目的)。当我们做的是点对多点的 L2L 的时候一定要 注意 ,两端的设备定义的 access-list 的名字要互相匹配。而且同一个设备到不同分支的 access-list 的条目不可以相同。
4. 配置本地验证客户端的信息和策略,如: Wins 、 DNS 和 IPSec 协议。命令如下:
ASA ? NY ? HQ(config)#group-policy sanying internal
ASA ? NY ? HQ(config)#group-policy sanying attributes
ASA ? NY ? HQ(config-group-policy)#vpn-idle-timeout 30
ASA ? NY ? HQ(config-group-policy)#split-tunnel-policy tunnelspecified
ASA ? NY ? HQ(config-group-policy)#split-tunnel-network-list value 102
ASA ? NY ? HQ(config-group-policy)#user-authentication enable
5. 配置 IPSec 的一般属性,如加密隧道需要用到的预共享密钥、地址池等。命令如下:
ASA ? NY ? HQ(config)#tunnel-group 81.149.118.151 type ipsec-l2l
ASA ? NY ? HQ(config)#tunnel-group 81.149.118.151 ipsec-attributes
ASA ? NY ? HQ(config ? tunnel ? ipsec)#pre-shared-key 1234567890
ASA ? NY ? HQ(config ? tunnel ? ipsec)#peer-id-validate nocheck
注:对于不同的 Peer ,可以使用不同 pre-shared-key 但是对端设备与本端互联的设备必须与这个 pre-shared-key 相同。
6. 建立控制访问列表,选择那些流量需要走 VPN 隧道。即配置隧道分离。命令如下:
ASA ? NY ? HQ(config)#group-policy sanying attributes
ASA ? NY ? HQ(config-group-policy)#vpn-idle-timeout 30
ASA ? NY ? HQ(config-group-policy)#split-tunnel-policy tunnelspecified
ASA ? NY ? HQ(config-group-policy)#split-tunnel-network-list value 102
ASA ? NY ? HQ(config-group-policy)#user-authentication enable
7. 配置 VPN 隧道所需要的加密视图,命令如下:
ASA ? NY ? HQ(config)#crypto map outside_map 40 set peer 81.149.118.151
ASA ? NY ? HQ(config)#crypto map outside_map 40 set transform-set myset
ASA ? NY ? HQ(config)#crypto map outside_map 40 set security-association lifetime
seconds 28800
ASA ? NY ? HQ(config)#crypto map outside_map 40 set security-association lifetime
kilobytes 4608000
ASA ? NY ? HQ(config)#crypto map outside_map interface outside
注:在配置点对多点的 L2L 时可以用号码来区分 outside_map 最后一起引用,也就是说在同一个 interface 下面只允许有一组加密视图。
查看更多关于CiscoASA防火墙做点对多点VPN的注意事项的详细内容...