ASA系列防火墙进阶讲解.ppt

/24 总部 /24 internet 总部第二阶段: 1.配置IPsec参数,定义遂道数据中的加密方式.配置数据转换集名字为vpnset 两端参数一致 asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.远程拨入的用户需要配置IPsec组策略名字为vpnclient asacisco(config)# group-policy vpnclient internal --定义为内部组 asacisco(config)# group-policy vpnclient attributes --定义组属性 split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnsplit --将准阶段的建立的标准的ACLvpnsplit 加入注策略 exit 3.配置IPsec遂道属性及密码 建立新的遂道组,名字用vpnclinet , 属性是ipsec-ra远程 asacisco(config)# tunnel-group vpnclient type ipsec-ra asacisco(config)# tunnel-group vpnclient general-attributes ---定义全局属性 authentication-server-group (outside) LOCAL ---用本地数据库认证 default-group-policy vpnclient ----将刚才建立的远程策略组加入遂道 exit asacisco(config)# tunnel-group vpnclient ipsec-attributes pre-shared-key cisco --定义密码为cisco exit 配置远程 VPN 总部第二阶段: 4.因为是远程用户是移动的,我们要首先建立一个动态加密图 名字dymap asacisco(config)# crypto dynamic-map dymap 10 set transform-set vpnset –将数据转换集加入动态加密图 asacisco(config)# crypto dynamic-map dymap 10 set reverse-route 5.因物理接口下面不支持动态加密图,所以我们在建立一个静态的加密图,在把刚建立的动态图加入静太加密图里面,然后用在物理接口上面. asacisco(config)#crypto map VPNMAP 10 ipsec-isakmp dynamic dymap --把动态图加入静态图里面 )#crypto map VPNMAP interface outside -- 将加密图应用到outside的接口上 6.对到不做NAT转换 asacisco(config)#nat (inside) 0 access-list nonat ---把nonat ACL应用到nat中 配置完成 配置远程 VPN VPNclinet安装说明 一、安装过程 1、选择软件语言 VPNclinet安装说明 2、点击下一步 VPNclinet安装说明 3、选择下一步 VPNclinet安装说明 4、选择安装目录，完毕后点击下一步 VPNclinet安装说明 5、安装完毕重启计算机 VPNclinet安装说明 二、VPN软件配置 1、启动VPN软件 VPNclinet安装说明 2、点击NEW按钮，弹出配置对话框 VPNclinet安装说明 3、Connection Entry:连接名称 Host:键入outside口IP地址 Group Authentication—Name:遂道组名vpnclient Password:遂道密码cisco VPNclinet安装说明 4 右下方小锁,锁住证明VPN建立成功 VPNclinet安装说明 VPNclinet安装说明 VPNclinet安装说明 VPNclinet安装说明 * Cisco? ASA 5500 系列自适应安全设备是一种模块化平台，能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务，可以通过四个定制软件包产品版本满足不同位置的需求：防火墙版、VPN版、IPS版和Anti-X版。 由于这些软件包能够为不同的情况提供最适当的服务，因而能实现卓越的保护。与此同时，所有这些服务都通过统一、标准化的 Cisco ASA 5500 系列平台实现，从而降低了管理、培训