Cisco防火墙ASA-EZVPN配置

       Cisco防火墙ASA-EZVPN配置


   Easy VPN也叫做EZVPN,是Cisco为远程用户、分支办公室提供的一种远程访问VPN解决方案,EzVPN提供了中心的VPN管理,动态的策略分发,降低了远程访问VPN部署的复杂程度,并且增加了扩展和灵活性。

 
Easy VPN特点介绍:

1. Easy VPN是Cisco私有技术,只能运用在Cisco设备。
2. Easy VPN适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专卖店或者彩票点。 
3. Easy VPN在中心站点配置策略,并且当客户连接的时候推送给客户,降低了分支站点的管理压力。
 
Easy VPN中心站点管理的内容: 
1. 协商的隧道参数,例如:地址,算法和生存时间。
2. 使用已配置的参数建立隧道。  
3. 动态的为硬件客户端配置NAT或者PAT地址转换。  
4. 使用组,用户和密码认证客户
5. 管理加解密密钥。
6. 验证,加解密隧道数据。


ASA8.4之后部分IKEv1的vpn和之前8.0.3时代的配置几乎是一样的,仅仅只是增加了一个ikev1的关键字。下面我就ASA8.4部分IKEv1的EzVPN配置进行一下介绍
拓扑图:

ASAIKEv1 EzVPN配置:
-----------------------基本网络----------------------------
ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 123.123.1.10 255.255.255.0

ASA(config-if)# interface Ethernet0/1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 10.254.254.1 255.255.255.252

ASA(config)# route outside 0.0.0.0 0.0.0.0 123.123.1.1
ASA(config)# route Inside 10.10.1.0 10.254.254.2(仅仅只为解密后流量运用这条目的路由访问内网资源)
-----------------------EzVPN crypto策略----------------------------
ASA(config)# crypto ikev1 enable outside
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2

ASA(config)# crypto ipsec ikev1 transform-set ezset esp-des esp-md5-hmac

ASA(config)# crypto dynamic-map ezdymap 10 set ikev1 transform-set ezset
ASA(config)# crypto dynamic-map ezdymap 10 set reverse-route
ASA(config)# crypto map ezvpnmap 10 ipsec-isakmp dynamic ezdymap
ASA(config)# crypto map ezvpnmap interface Outside

ASA(config)# tunnel-group ezvpngroup typeremote-access
ASA(config)# tunnel-group ezvpngroup ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key ccieccie

-----------------------EzVPN 用户VPN策略----------------------------
ASA(config)# access-list ezSplit permit ip 10.10.1.0 255.255.255.0 any

ASA(config)# ip local pool ezvpnpool 10.253.254.10-10.253.254.254

ASA(config)# group-policy ezvpn-group-policy internal (在group-policy下调用所有用户VPN策略)
ASA(config)# group-policy ezvpn-group-policy attributes
ASA(config-group-policy)# address-pools value ezvpnpool
ASA(config-group-policy)# split-tunnel-policy tunnel specified
ASA(config-group-policy)# split-tunnel-network-list value ezSplit

ASA(config)# username ezvpn password cisco
ASA(config)# username ezvpn attributes (关联group-policy到用户)
ASA(config-username)# vpn-group-policy ezvpn-group-policy

 

定义不需要NAT感兴趣流:

object network local-vpn-traffic

 subnet 10.10.0.0 255.255.0.0

object network remote-vpn-traffic

 subnet 10.253.254.0 255.255.255.0

nat (inside,outside) source static local-vpn-trafficlocal-vpn-traffic destination static remote-vpn-traffic remote-vpn-traffic

VPNClient配置:

时间: 2024-10-10 16:43:48

Cisco防火墙ASA-EZVPN配置的相关文章

cisco防火墙点对点VPN配置样例

需求:两端防火墙同为cisco5500系列,实现点点VPN连接,并实现nat与vpn共存 配置实例: tunnel-group 210.1.1.22 type ipsec-l2ltunnel-group 210.1.1.22 ipsec-attributes ikev1 pre-shared-key ***** (*为对方共享秘钥) crypto ipsec ikev1 transform-set VPN-B esp-3des esp-sha-hmac crypto map IPSEC_MP 1

配置Cisco的ASA防火墙(三个区域)

配置Cisco的ASA防火墙(三个区域),布布扣,bubuko.com

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

第十七期 ASA【防火墙】基本配置

实验目的:1. DMZ发布Web服务器,Client2可以访问Server3 使用命令show conn detail查看Conn表 查看ASA和AR[R1]的路由表 配置ACL禁止Client3访问Sever2实验步骤: 配置ASA及路由器:R1:配置IP地址:interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/1ip address 10.1.1.254

在Cisco的ASA防火墙上实现IPSec虚拟专用网

博文大纲: 一.网络环境需求 二.配置前准备 三.配置虚拟专用网 四.总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下. 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替 关于其中的知识点及相关概念,都在文章开头的那篇博文链接中介

思科 (CISCO) 交换机 ? C3750-E ? 1. 配置线连接及登录

[简介]配备了 StackWise Plus 的 Cisco? Catalyst? 3750-E 系列交换机是一个企业级独立式可堆叠配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资.通过将 10/100/1000 和以太网供电 (PoE) 配置与万兆以太网上行链路相结合,Cisco Catalyst 3750-E 能够支持 IP 语音.无线和视频等应用,提高了员工生产率.   Cisco Catalyst 3750-E 系列交换机的主要特性 Cisco

EzVPN 配置

一.配置环境 说明:这里我们以R1为server,以R2为client,配置IP地址.路由 二.server端配置 1.定义AAA(AAA表示认证.授权.审计,一般涉及到用户名密码的都要起3A) 1.认证 aaa new-model //开启AAA认证aaa authentication login ezvpn local //使用本地数据库进行登录认证,login是认证方法(表示通过登陆我这里来认证),ezvpn是数据库名,local表示在本地数据库查找用户名密码(这里因为做实验要用local

ASA基本配置实验报告

网络运维 ASA基本配置 实验报告 姓名: 李军 班级: NTD1710 日期: 2017 年 12 月 29 日实验任务 验证R1可以telnet到R2和R3,R3可以telnet到R2但不能telnet到R1,R2不能telnet到R1和R3思路及实验步骤 将RR的端口额IP设置正确并开启路由功能EnableConfigure terminalIp routingInterface fastethernet 1/0Ip address 172.16.1.1 255.255.255.0No s

Cisco防火墙HA实例

实验环境:2台ASA5508防火墙,组建HA使得一台作为主防火墙Active,另外一台平时作为standby作为备用防火墙.防火墙有3个端口, gi 1/1 端口为outside出口   gi1/2 端口为inside进口 gi 1/3 端口为两台防火墙互连接口 实验目的:使得两台防火墙互为主备,平时只有一台工作,另一台作为热备在线.等主防火墙故障后,备防火墙直接切换为主防火墙继续提供服务. 实验网络拓扑图: 该实验操作也支持其他可以做热备的设备配置,做热备的两台设备必须是同型号同版本的,以下查