Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)

前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了。

该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,可以参考以下博文(路由器和防火墙的虚拟专用网原理类似,可参考):

1、网络环境如下:

2、环境分析:
(1)在公司网关ASA防火墙上配置虚拟专用网,客户端(出差人员)可以连接到虚拟专用网,并访问内网提供的DNS服务及HTTP(www.lvjianzhao.com ) 服务(使用该域名访问,内网中的DNS负责解析该域名),为了简化环境,所以将内网的服务集成到一台服务器上了。
(2)客户端连接到虚拟专用网后,还可以使用Internet的DNS及HTTP服务,模拟www.baidu.com 网站服务,并使用Internet上的服务器提供的DNS服务解析该域名。
(3)自行配置正确的路由器接口及各个服务器的IP、网关、路由(服务器配置相应的网关,ASA防火墙只需配置接口IP及一条默认路由指向R1路由器即可,R1路由器除了接口IP以外什么都不要配置,尤其是路由表,否则可能测试不出来虚拟专用网的效果)。
(4)客户端需要安装Cisco提供的客户端软件进行连接。

3、配置前准备:

(1)下载客户端使用的软件,并安装在客户端,用来连接虚拟专用网。
(2)自行配置路由器接口IP地址及路由(这些基础配置命令就不展示了,我之前的博文有写到过,或者自行百度吧)。。
(3)自行配置各个服务器及客户端的IP及网关。
(4)自行在相关服务器上搭建HTTP服务及DNS服务(这两个服务不是这篇博客想要介绍的,我这里简单搭了一个,我之前的博文有搭相关服务的,可以自行查看)。

4、开始配置:

配置举例:

ASA-1(config-if)# route outside 0 0 200.0.0.2     #配置ASA防火墙配置去往外网的路由
#以下是配置接口区域及IP地址,并开启接口
ciscoasa(config-if)# in e0/1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh

当所有基础配置(接口IP地址、路由、网关)配置完毕后,即可进行以下虚拟专用网的配置。

(1)公司网关ASA防火墙置如下:

ASA-1(config)# username lvjianzhao password 2019.com  #配置客户端连接使用的用户名/密码
ASA-1(config)# crypto isakmp enable outside   #outside接口开启 isakmp
#以下是配置"阶段1——管理连接:"
ASA-1(config)# crypto isakmp policy 10
ASA-1(config-isakmp-policy)# encryption 3des
ASA-1(config-isakmp-policy)# hash sha
ASA-1(config-isakmp-policy)# authentication pre-share
ASA-1(config-isakmp-policy)# group 2
ASA-1(config-isakmp-policy)# exit

#接下来"配置阶段1.5",就是需要在管理连接后建立成功后,推送给客户端的配置了。
#以下是配置一个地址池,池中的地址是向客户端分发的,
#地址池的网段地址,不可以和内网使用同一网段,否则将会影响最终通信
ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210
#以下是定义一个命名的ACL,这个ACL是推送给客户端使用的,只有ACL允许的源地址是可以被客户端访问的。
//这个ACL是允许192.168.0.0去往任何地址,当推送到客户端时,就会反过来。
#变成了允许任何IP地址访问192.168.0.0。因为这里的源地址是站在路由器的角度的。
ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
#以下是创建用户组, internal 表示策略定义在本地,可以改为external表示策略定义AAA服务器
ASA-1(config)# group-policy test-group internal
ASA-1(config)# group-policy test-group attributes     #配置用户组的属性
ASA-1(config-group-policy)# dns-server value 192.168.0.1   #指定分发给客户端的DNS地址
ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified
#关于上面的“split-tunnel-policy”后面可以接三种类型的规则,如下:
#tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;
#tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;
#excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项。
ASA-1(config-group-policy)# split-tunnel-network-list value split-acl   #引用之前创建的ACL
ASA-1(config-group-policy)# exit
ASA-1(config)# tunnel-group test-group type ipsec-ra   #指定组的类型是ipsec-ra(远程访问)
ASA-1(config)# tunnel-group test-group general-attributes     #配置属性
ASA-1(config-tunnel-general)# address-pool test-pool   #引用刚才定义的“地址池”
ASA-1(config-tunnel-general)# default-group-policy test-group   #调用组策略
ASA-1(config-tunnel-general)# exit
#配置传输集用户名及共享密钥
ASA-1(config)# tunnel-group test-group ipsec-attributes
ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123
ASA-1(config-tunnel-ipsec)# exit

#下面是配置"阶段2——数据连接"
ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac
ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set  #配置动态map
ASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap   #将动态map引入静态map
ASA-1(config)# crypto map test-stamap int outside   #应用到外网接口,也就是outside口

公司网关ASA防火墙关于虚拟专用网的配置已经完成了,现在使用客户端安装专用软件,连接虚拟专用网,并测试访问即可。

(2)客户端配置如下:

注意:win7和win10的安装客户端软件方式不一样,我有时间的话,会写出来win 10安装这个客户端的具体过程。

将我提供的压缩包解压后安装虚拟专用网的客户端软件:

还需要再次解压,选择解压到哪里:

解压后,会弹出下面的安装向导,如下,选择安装语言:


基本上就是无脑下一步了,自己看吧!

选择安装路径:


等待安装完成即可!

安装完成后,可以通过以下来找到client软件:

单击打开client:

添加一个连接:

填写具体信息:

连接虚拟专用网:

弹出以下对话框后,填写在网关设备上创建的用户及密码:

连接成功后,可以查看我们客户端的网络适配器有什么变化。

使用客户端分别访问www.lvjianzhao.com 及 www.baidu.com 即可验证公司内网及Internet上的http服务和DNS服务

至此,效果实现,客户端既可以访问公司内网的服务,也可以访问Internet的服务,OK,齐活。

———————— 本文至此结束,感谢阅读 ————————

出差员工如何访问公司内网资源Cisco路由器Easy虚拟专用网配置Cisco 路由器

原文地址:https://blog.51cto.com/14154700/2431157

时间: 2024-10-10 09:40:22

Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)的相关文章

Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题)

博文大纲:一.在路由器上实现Easy 虚拟专用网需要配置什么?二.配置实例 前言:由于"Virtual Private Network"(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字"虚拟专用网"来代替. 在之前写过了Cisco路由器之IPSec 虚拟专用网:在Cisco的ASA防火墙上实现IPSec虚拟专用网.这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的,那么还有一种使用很多的情况,就是出差人员想要访问公司内网的资源呢?由于出

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

Cisco 路由器上配置Easy虚拟专用网(解决员工出差访问公司内网)

博文目录一.Easy 虚拟化专用网需要解决的问题是什么?二.如何在路由器上实现Easy 虚拟专用网?三.配置路由器上实现Easy 虚拟专用网 由于"Virtual Private Network"(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文中使用它的中文名字"虚拟专用网"来代替. 在之前写过了Cisco路由器IPSec 虚拟专用网原理与详细配置:Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网.这两篇博文都是用于实现总公司和分公司之间建立虚拟专用

Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解可以实现两个局域网之间建立虚拟专用网,但是在现实环境中,较为常用的还是Easy 虚拟专用网.它主要解决的就是出差员工通过虚拟专用网访问内网的问题.在路由器上实现Easy 虚拟专用网时,会涉及以下的基本概念:XAUTH.组策略.动态Crypto Map等概念! 博文大纲:一.Easy 虚拟专用网需要解决的问题:二.在路由器上实现Easy 虚拟专用网需要配置什么?1.使用XAUTH做用户验证:2.组策略:3.动态 Crypto Map:

思科路由器实现出差员工访问公司内部网络远程访问VPN—Easy VPN

远程访问VPN-EasyVPN 1.       实验拓扑: 使用GNS3模拟器(版本号0.8.6)+c2691-advsecurityk9-mz.124-11.T2.bin +以太网交换机 2.       实验需求: a)       C1连接VMnet1和虚拟机Win7绑定一个网卡模仿Win7系统,C2连接VMnet8和虚拟机Win server2008绑定一个网卡模仿Win server 2008服务器 b)       使用Easy VPN让出差员工在任何地方都可以访问公司内网 c) 

Cisco ASA防火墙原地址与目的地址NAT

1.网络拓扑信息2.网络地址基本配置 outside路由器: interface FastEthernet0/0 ip address 11.1.1.1 255.255.255.0 inside路由器 interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip route 1.1.1.0 255.255.255.0 10.1.1.10 ASA防火墙 interface Ethernet0/0 nameif outside secu

cisco ASA 防火墙常用配置(ASA Version 8.2(5) )

注:内网口:192.168.3.253  外网口:192.168.6.45  (以下指令皆据此)!!! 接口模式下加入vlan: switchport access vlan 2 vlan接口配置IP地址: interface Vlan1  nameif inside security-level 50  ip address 192.168.3.253 255.255.255.0 配置端口映射: access-list Outside_Access extended permit ip any

CISCO ASA 防火墙 IOS恢复与升级

在IOS被误清除时的处理办法: 1.从tftp上的ios启动防火墙 防火墙启动后 ,按“ESC”键进入监控模式 rommon #2> ADDRESS=192.168.1.116 rommon #3> GATEWAY=192.168.1.1 rommon #4> IMAGE=asa803-k8.bin rommon #5> SERVER=192.168.1.1 rommon #6> sync rommon #7> ping 192.168.1.1 Link is UP S

cisco asa防火墙部署案例

查看当前防火墙的工作模式: ciscoasa# show firewall Firewall mode: Router 配置防火墙为透明模式: ciscoasa(config)# firewall transparent 配置防火墙为路由模式: ciscoasa(config)# firewall router PS:配置透明防火墙之后,运行配置会被清除,请注意保存配置到Flash存储器. 配置透明防火墙: ciscoasa(config)# firewall transparent cisco