ASAPIX带有用于VPN客户端流量的入站NAT摘要.PDFVIP

ASA/PIX：带有用于 VPN 客户端流量的入站 NAT 的远程 VPN 服务器（带有 CLI 和 ASDM）配置 示例 目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 配置 使用 ASDM 将 ASA/PIX 配置为远程 VPN 服务器 使用 ASDM 配置从 ASA/PIX 到 NAT 的入站 VPN 客户端流量 使用 CLI 将 ASA/PIX 配置为远程 VPN 服务器并使之适用于入站 NAT 验证 ASA/PIX 安全设备 - show 命令 故障排除 相关信息 简介 本文档介绍了如何使用自适应安全设备管理器 (ASDM) 或 CLI 将 Cisco 5500 系列自适应安全设备 (ASA) 配置为充当远程 VPN 服务器，以及如何将 NAT 配置为入站 VPN 客户端流量。ASDM 通过 一个直观且易于使用的基于 Web 的管理界面提供一流的安全管理和监控。完成 Cisco ASA 配置后 ，可以使用 Cisco VPN 客户端对其进行验证。 先决条件 要求 本文档假设 ASA 处于完全运行状态，并配置为允许 Cisco ASDM 或 CLI 进行配置更改。此外，也 假设要对 ASA 进行配置，使之适用于出站 NAT。有关如何配置出站 NAT 的详细信息，请参阅允许 内部主机使用 PAT 访问外部网络。 注意： 请参阅允许对 ASDM 进行 HTTPS 访问或 PIX/ASA 7.x：内部和外部接口上的 SSH 配置示 例以允许通过 ASDM 或Secure Shell (SSH) 远程对设备进行配置。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco可适应安全工具软件版本7.x和以上 自适应安全设备管理器版本 5.x 及更高版本 Cisco VPN 客户端 4.x 及更高版本 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置也可用于 Cisco PIX 安全设备版本 7.x 及更高版本。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 远程访问配置提供对 Cisco VPN 客户端（如移动用户）的安全远程访问。远程访问 VPN 使远程用 户可以安全地访问集中的网络资源。Cisco VPN 客户端遵守 IPSec 协议并专门设计为可与安全设备 配合使用。但是，安全设备可以与许多协议兼容客户端建立 IPSec 连接。有关 IPSec 的详细信息 ，请参阅 ASA 配置指南。 组和用户是 VPN 安全管理和安全设备配置中的核心概念。它们指定确定用户访问和使用 VPN 的属 性。组是被视为单个实体的用户集合。用户从组策略获得他们的属性。隧道组标识特定连接的组策 略。如果没有为用户分配特定组策略，则应用连接的默认组策略。 隧道组由确定隧道连接策略的一组记录构成。这些记录标识用于对隧道用户进行身份验证的服务器 ，以及向其发送连接信息的记帐服务器（如果有）。它们还标识连接的默认组策略，并且它们包含 协议特定的连接参数。隧道组包括与隧道自身创建相关的少量属性。隧道组包括指向定义面向用户 的属性的组策略的一个指针。 配置 使用 ASDM 将 ASA/PIX 配置为远程 VPN 服务器 要使用 ASDM 将 Cisco ASA 配置为远程 VPN Server，请完成以下步骤： 1. 打开浏览器并输入 https://为访问 ASDM 而配置的 ASA 接口的 IP 地址 ，以访问 ASA 上的 ASDM。确保核准浏览器提供的有关 SSL 证书真实性的任何警告。默认的用户名和口令均为 空。ASA 显示此窗口以允许下载 ASDM 应用程序。此示例将应用程序加载到本地计算机，但 不在 Java 小程序中运行。 2. 单击 Download ASDM Launcher and Start ASDM 以下载 ASDM 应用程序的安装程序。 3. 下载 ASDM 启动程序之后，完成提示所指示的步骤，以便安装该软件并运行 Cisco ASDM 启 动程序。 4. 输入使用 http - 命令配置的接口的 IP 地址，以及用户名和口令（如果已指定）。此示例使用 cisco123 作为用户名，使用 cisco123 作为口令。 5. 从主窗口中选择 Wizards IPsec VPN Wizard。 6. 选择 Remote Access VPN