实验目的:
- 移动用户安装Cisco vpn client和ASA之间建立remote vpn。
2.使得移动用户通过ASA分配的内部地址池的地址与inside 的PC1或服务器172.16.2.2进行安全的通讯。
路由的准备:
ASA: route outside 0.0.0.0 0.0.0.0 202.1.1.10
移动用户: 网关指向201.1.1.10 (可以上网就行)
ASA的VPN配置:
第一阶段策略:
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
第二阶段策略:
Crypto ipsec transform-set myset esp-des esp-md5-hmac
定义动态map:
Crypto dynamic-map cisco 10 set transform-set myset
定义crypto map:
Crypto map cisco 10 ipsec-isakmp dynamic cisco
Crypto map cisco interface outside
定义LOCAL POOL:
Ip local pool ippool 10.1.1.1-10.1.1.100
定义tunnel-group:
Tunnel-group ipsecgroup type ipsec-ra 定义group的名字和类型
Tunnel-group ipsecgroup general-attributes
Address-pool ippool
Tunnel-group ipsecgroup ipsec-attributes
Pre-shared-key cisco
定义用户名和密码:
Username cisco password cisco
Tunnel split(切分通道)的配置:
Tunnel split解决了拨VPN的用户可以上网又可以通过vpn访问公司内部服务器,通过定义一个acl的方式来向client表明那个内部网络是需要加密访问的,其它网络可以正常的明文通讯。
定义acl:
Access-list split_acl permit ip 172.16.2.0 255.255.255.0 any
格式为扩展访问控制列表,源为希望被加密访问的主机或网络,目的地是any
定义group-policy:
Group-policy split internal
Group-policy split attributes
Split-tunnel-policy tunnelspecified
Split-tunnel-network-list value split_acl
用户调用group-policy策略:
User cisco attributes
Vpn-group-policy split
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。