ASA5510防火墙remote_ipsec_vpn配置.docVIP

ASA5510防火墙remote ipsec vpn配置 ? ? ? 1、IPSEC? VPN 基本配置 access-list no-nat extended permit ip //定义VPN数据流 nat (inside) 0 access-list no-nat//设置IPSEC VPN数据不作nat翻译 ? ip local pool vpn-pool -00 mask //划分地址池，用于VPN用户拨入之后分配的地址。 ? crypto ipsec transform-set vpnset esp-des esp-md5-hmac //定义一个变换集myset，用esp-md5加密的。(网上一般都是用esp-3des esp-sha-hmac 或esp-des? esp-sha-hmac，而我使用的防火墙没开启3des，所以只能使用esp-des；至于esp-sha-hmac ，不知为什么，使用它隧道组始终无法连接上，所以改用esp-md5-hmac。具体原因不清楚。) (补充：后来利用ASA5520防火墙做了关于esp-3des esp-sha-hmac 加密的测试，成功！) crypto dynamic-map dymap 10 set transform-set vpnset//把vpnset添加到动态加密策略dynmap crypto dynamic-map dymap 10 set reverse-route crypto map vpnmap 10 ipsec-isakmp dynamic dymap//把动态加密策略绑定到vpnmap动态加密图上 crypto map vpnmap interface outside//把动态加密图vpnmap绑定到outside口 crypto isakmp identity address crypto isakmp enable outside// outside接口启用isakmp ? crypto isakmp policy 10//进入isakmp的策略定义模式 ?authentication pre-share?//使用pre-shared key进行认证 ?encryption des//定义协商用DES加密算法（与前面对应，这里使用des，而不是3des） ?hash md5//定义协商用md5加密算法(和前面一样，网上使用的是sha，我这里为了配合前面的esp-md5-hmac，而使用md5)?group 2//定义协商组为2，标准有1、2、3、5等多组，主要用于块的大小和生命时间等?lifetime 86400//定义生命时间 ? group-policy whjt internal//定义策略组（用于想进入的）想要运用策略组就必须用默认的策略组名，否则无法激活该组。 group-policy whjt attributes//定义策略组属性 ?vpn-idle-timeout 1800//设置VPN超时时间为1800秒 ?? tunnel-group whjt type ipsec-ra//建立VPN 远程登入(即使用隧道分离)组 tunnel-group whjt general-attributes//定义隧道组whjt属性 ?address-pool vpn-pool//将VPN client地址池绑定到whjt隧道组 ?username test password test//设定用户名和密码 ?authentication-server-group (outside) LOCAL//本地认证服务组(本条命令没用） ?default-group-policy whjt//默认策略组为whjt tunnel-group whjt ipsec-attributes//定义whjt组IPSec的属性 ?pre-shared-key 730211//定义共享密钥为：730211 isakmp nat-traversal 20//每20秒向VPN对端发送一个包来防止中间PAT设备的PAT超时，就相当于路由器中的 isakmp keepalive threshold 20 retry 2? ?在生存时间监控前，设备被允许空闲20秒，发现生存时间没有响应后，2秒钟内重试 sysopt connection permit-vpn //通过使用sysopt connect命令，我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表(未加此命令会出现可以ping能内网地址，但不能访问内网服务，比如23、80等端口。） ? ? 2、开启隧道分离 access-list vpnsp