搭建Easy ×××

 

欢迎关临

 breaklinux工作室

 

 

1,应用场景,

 (1)当客户端地址无法确定时,

(2)员工在外地出差,紧急情况

    需要维护内网设备时。

远程访问 搭建Easy ××× ! _vpn

2,使用XAUTH

所以引入了一个RFCDE

IPSce 协议最初的设计并未考虑用

户验证的问题

的草案---XAUTH                                                         

它是一个vpn网关增强特性,

(1)存储在vpn网关设备的内部数据库中 

(2)存储在第三方的设备上(AAA)服务器

AAA定义

Authentication (验证)  :

用户是谁

Author ization(授权)   :

用户可以做什么

Accounting (统计);

用户做过什么

 

3,RADIUS (远程验证拨入用户服务)

4,TACASC+ (终端访问控制器访问控制系统)

 

ASA搭建Easy vpn 配置如下

 

(1)接口地址和路由

ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 100.1.1.1 255.255.255.0
ciscoasa(config-if)# no sh                                                      
ciscoasa(config-if)# exit                                                              
ciscoasa(config)# int e0/2
ciscoasa(config-if)# nameif inside                                          #### 配置内网和外网地址
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.100 255.255.255.0
ciscoasa(config-if)# no sh

ciscoasa(config)# route outside 0.0.0.0.0 0.0.0.0 100.1.1.2  ##默认路由

 

 

(2)XAUTH的配置(防火墙默认启用了AAA,而且通过本地认证不要要开启AAA )启用命令(aaa new-model 路由需要)

 

(1)ciscoasa(config)# username zhangsan password 123456     ####指定用户和密码

(2)定义管理策略!

 

ciscoasa(config)# crypto isakmp enable outside
coasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption aes

ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit

 

3.定义组策略

ciscoasa(config)# ip  local pool aaaa 192.168.10.10-192.168.10.50 
ciscoas  (config)access-list s   ipermit p 192.168.1.0 255.255.255.0 any

ciscoasa(config)# group-policy bbbb internal                                  
ciscoasa(config)# group-policy bbbb attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value s
ciscoasa(config-group-policy)# exit

 

4,定义隧道组策略和密钥。


ciscoasa(config)# tunnel-group cccc type ipsec-ra          
ciscoasa(config)# tunnel-group cccc general-attributes
ciscoasa(config-tunnel-general)# address-pool aaaa
ciscoasa(config-tunnel-general)# default-group-policy bbbb
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group cccc ipsec-attributes  ### 登陆的组名
ciscoasa(config-tunnel-ipsec)# pre-shared-key 123            #####组的密码
ciscoasa(config-tunnel-ipsec)# exit

 

5,建立数据链接和动态map,和静态 ,将动态map包含到静态map ,将静态map引用到公网接口。

 

ciscoasa(config)# crypto ipsec transform-set a esp-aes esp-sha-hmac # 建立数据链接 
ciscoasa(config)# crypto dynamic-map dddd 1 set transform-set a    ####建立动态map包含数据链接
ciscoasa(config)# crypto map eeee 1000 ipsec-isakmp dynamic dddd  ####静态包含动态map
ciscoasa(config)# crypto map eeee int outside ##应用到接口

 

 

ISP 运营商网络 只配置 ip地址

 

ISP(config)#int e0/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.0
ISP(config-if)#no  sh
ISP(config-if)#exi
ISP(config)#int e0/1

ISP(config-if)#ip add 200.1.1.100 255.255.255.0
ISP(config-if)#no sh

 

 

测试

安装

Cisco.×××.Client 连接vpn 网关地址测试vpn搭建是否成功

 

远程访问 搭建Easy ××× ! _远程访问_02

 

 

远程访问 搭建Easy ××× ! _远程访问_03

 

测试是否分配到设置哪个ip地址池中的ip

有说明完成了搭建 easy vpn

 

 

远程访问 搭建Easy ××× ! _vpn_04

 

                                                                                                                            

 

 测试结果完成easy vpn                                                                                 上传日期:2014年8月6日

                             

 

                                                                                                                         作者:——新

 

 

breaklinux工作室

 

 

 

                         错误的地方请大家指出——————谢谢 !!!