某集团公司cisco ASA5520的全配置.docVIP

初稿：????? 2010.10.24 第一次修订：2010.10.26?? 调整了排版格式，增加了SITE-TO-SITE段的配置过程总结。 一、背景介绍 ?? 目前公司使用的SONICWALL 3060PRO旧了，订购了一台CISCO ASA5520-K8设备更换现有设备。 现有的网络结构及需求如下： 1、能与各公司做SITE-TO-SITE VPN而且要求对端支持sonicwall设备。 2、做one-to-one地址映射能发布服务器。 3、支持限制客户端上网规则设置。 4、支持remote-vpn功能，某些用户设置权限只允许通过VPN访问特定的某（几）台服务器，防止黑客或病毒传染。 注：公司共16个IP地址，有两个网段一个是59.61段，一个是59.57段，其中59.57段中某个IP地址设置为接口IP. ??? 内部共7个网段分别是：/24到/24? *7网段子网为客户专用的VLAN，做了隔离。 Client PC---CISCO3750G-24TS-E（多个VLAN启三层接口）---CISCO ASA5520-K8 遇到的问题： 当我把服务器发布后(one-to-one)发现发布的服务器在外网无法访问，而配置也正常，从服务器上PING外网无法PING通。 解决方法：打电话给ISP叫他们帮助清空上级路由器的ARP信息后即可成功。【这个问题搞了我快3个小时，支持电话打了无数】 作者：邓卫华 2010.10.23? 题外话：最近我试用了WPS2010软件，个人版操作界面与易用性、兼容性非常不错,您可以下载回来试用一下。对于个人版是免费的。 二、把现有SONICWALL设备上的规则记录下来。并做成表格： 1、需要服务器发布的规则（注：因为以前的SONICWALL PRO 3060 不支持一个IP地址指向多个服务器的不同端口，所以以下的方法比较浪费IP地址，但是因为是升级现有环境，而且这个IP已经对外使用了很长一段时间了，暂时无法做出整合） 2、发布服务器的服务组（只写了一个服务组的配置，其它的类似，如果端口不多也可以不使用服务组，直接在ACL中指定端口） 3、客户机上网规则及限制 黑名单限制 作者：邓卫华 2010.10.23? CISCO ASA5520-K8【最好到CISCO的网站上免费升级到K9使之支持3DES等加密码方法】。 我先来几张图 整体 面板?? 作者：邓卫华 2010.10.23? 接口 接口近照 作者：邓卫华 2010.10.23? 自带的上架耳朵。 三、设备基本配置 1、从光盘中升级现有的系统和相关软件 略...... 以下配置均以升级后的IOS asa 831的命令为准，之前的版本会有差异：BOOT variable = disk0:/asa831-k8.bin 作者：邓卫华 2010.10.23? 1、启用NAT使内部用户能上网 /*主机网络组obj_any以之前需要定义，它包含内部的所有子网*/ 2、建立服务组、网络组及发布服务器（摘录） //服务（端口）组srv-mails-outs包含两个子服务组srv-mail-both和srv-mail-both即组嵌套 3、发布服务器及设置ACL应用到接口(摘录) 作者：邓卫华 2010.10.23? 4、静态地址映射为外部独立IP地址为内部主机的IP地址 5、建立内部用户访问外部的规则集（摘录） 作者：邓卫华 2010.10.23? 我们总结一个发布服务器的流程。注意因为IOS版本的不同，做法和以前的有些不太一样。 到此网络和服务发布部份完成，下面开始建立site-to-site的VPN和启用webvpn。 四、配置site-to-site的VPN，共有两个阶段，如下图 作者：邓卫华 2010.10.23? VPN对端的IP地址段为/ 也就是8-10网段 1、设置ACL允许本地子网络访问到对端的子网 2、设置ISAKMP，此为第一阶段的设置内容。 作者：邓卫华 2010.10.23? 以下为第二个阶段的配置 3、设置转换集 /*注因为我设置VPN的时候还未升级为K9所以只能使用des加密码方法，这些设置必须和对端口的设置一样。见上图的第二阶段。 4、设置crypto加密图，作用是进一步设置VPN信息及把之前的第一、二阶段应用到接口上。 /*建一个名叫cisco 编号为20的匹配acl叫REMOTE-VPN的加密图。 /*第一阶段已经应用到outside接口上了，所以这里只应用第二阶段的转换集。 /*应用加密码图到外部接口*/ 5、设置通道组 作者：邓卫华 2010.10.23? 五、设置IPSEC remote VPN. 1、设置远程VPN的DHCP地址池，为远程用户分配IP地址。 2、设置isakmp的策略编号为30 3、设置转换