Cisco ASA防火墻之Easy虛擬專用網(wǎng)（解決出差員工訪

前言：上一篇博文寫(xiě)了Cisco路由器之Easy虛擬專用網(wǎng)（解決出差員工訪問(wèn)公司內(nèi)網(wǎng)的問(wèn)題），是基于公司網(wǎng)關(guān)設(shè)備是路由器的情況下，那么，如果是ASA防火墻的話，又該怎么配置呢？關(guān)于理論部分，在前面提到的博文鏈接中已經(jīng)寫(xiě)的挺詳細(xì)了，可以參考那篇博文的理論部分，這里就直接上配置了。

該博文關(guān)于虛擬專用網(wǎng)的理論知識(shí)點(diǎn)比較少，因?yàn)槲抑皩?xiě)過(guò)好幾篇虛擬專用網(wǎng)的博文了，所以關(guān)于原理方面不會(huì)重復(fù)寫(xiě)，若想了解原理，可以參考以下博文（路由器和防火墻的虛擬專用網(wǎng)原理類似，可參考）：

• Cisco路由器之Easy虛擬專用網(wǎng)（解決出差員工訪問(wèn)公司內(nèi)網(wǎng)的問(wèn)題）
• Cisco路由器之IPSec 虛擬專用網(wǎng)

1、網(wǎng)絡(luò)環(huán)境如下：

2、環(huán)境分析：
（1）在公司網(wǎng)關(guān)ASA防火墻上配置虛擬專用網(wǎng)，客戶端（出差人員）可以連接到虛擬專用網(wǎng)，并訪問(wèn)內(nèi)網(wǎng)提供的DNS服務(wù)及HTTP（www.lvjianzhao.com ） 服務(wù)（使用該域名訪問(wèn)，內(nèi)網(wǎng)中的DNS負(fù)責(zé)解析該域名），為了簡(jiǎn)化環(huán)境，所以將內(nèi)網(wǎng)的服務(wù)集成到一臺(tái)服務(wù)器上了。
（2）客戶端連接到虛擬專用網(wǎng)后，還可以使用Internet的DNS及HTTP服務(wù)，模擬www.baidu.com 網(wǎng)站服務(wù)，并使用Internet上的服務(wù)器提供的DNS服務(wù)解析該域名。
（3）自行配置正確的路由器接口及各個(gè)服務(wù)器的IP、網(wǎng)關(guān)、路由（服務(wù)器配置相應(yīng)的網(wǎng)關(guān)，ASA防火墻只需配置接口IP及一條默認(rèn)路由指向R1路由器即可，R1路由器除了接口IP以外什么都不要配置，尤其是路由表，否則可能測(cè)試不出來(lái)虛擬專用網(wǎng)的效果）。
（4）客戶端需要安裝Cisco提供的客戶端軟件進(jìn)行連接。

3、配置前準(zhǔn)備：

（1）下載客戶端使用的軟件，并安裝在客戶端，用來(lái)連接虛擬專用網(wǎng)。（我這里提供的是windows 7的client安裝包，如果客戶端是Windows 10，請(qǐng)參考博文：Windows 10 安裝虛擬專用網(wǎng)client端）。
（2）自行配置路由器接口IP地址及路由（這些基礎(chǔ)配置命令就不展示了，我之前的博文有寫(xiě)到過(guò)，或者自行百度吧）。。
（3）自行配置各個(gè)服務(wù)器及客戶端的IP及網(wǎng)關(guān)。
（4）自行在相關(guān)服務(wù)器上搭建HTTP服務(wù)及DNS服務(wù)（這兩個(gè)服務(wù)不是這篇博客想要介紹的，我這里簡(jiǎn)單搭了一個(gè)，我之前的博文有搭相關(guān)服務(wù)的，可以自行查看）。

4、開(kāi)始配置：

配置舉例：

ASA-1(config-if)# route outside 0 0 200.0.0.2     #配置ASA防火墻配置去往外網(wǎng)的路由
#以下是配置接口區(qū)域及IP地址，并開(kāi)啟接口
ciscoasa(config-if)# in e0/1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh

當(dāng)所有基礎(chǔ)配置（接口IP地址、路由、網(wǎng)關(guān)）配置完畢后，即可進(jìn)行以下虛擬專用網(wǎng)的配置。

（1）公司網(wǎng)關(guān)ASA防火墻置如下：

ASA-1(config)# username lvjianzhao password 2019.com  #配置客戶端連接使用的用戶名/密碼
ASA-1(config)# crypto isakmp enable outside   #outside接口開(kāi)啟 isakmp
#以下是配置"階段1——管理連接："
ASA-1(config)# crypto isakmp policy 10
ASA-1(config-isakmp-policy)# encryption 3des 
ASA-1(config-isakmp-policy)# hash sha
ASA-1(config-isakmp-policy)# authentication pre-share 
ASA-1(config-isakmp-policy)# group 2
ASA-1(config-isakmp-policy)# exit

#接下來(lái)"配置階段1.5"，就是需要在管理連接后建立成功后，推送給客戶端的配置了。
#以下是配置一個(gè)地址池，池中的地址是向客戶端分發(fā)的，
#地址池的網(wǎng)段地址，不可以和內(nèi)網(wǎng)使用同一網(wǎng)段，否則將會(huì)影響最終通信
ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210
#以下是定義一個(gè)命名的ACL，這個(gè)ACL是推送給客戶端使用的，只有ACL允許的源地址是可以被客戶端訪問(wèn)的。
//這個(gè)ACL是允許192.168.0.0去往任何地址，當(dāng)推送到客戶端時(shí)，就會(huì)反過(guò)來(lái)。
#變成了允許任何IP地址訪問(wèn)192.168.0.0。因?yàn)檫@里的源地址是站在路由器的角度的。
ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
#以下是創(chuàng)建用戶組， internal 表示策略定義在本地，可以改為external表示策略定義AAA服務(wù)器
ASA-1(config)# group-policy test-group internal 
ASA-1(config)# group-policy test-group attributes     #配置用戶組的屬性
ASA-1(config-group-policy)# dns-server value 192.168.0.1   #指定分發(fā)給客戶端的DNS地址
ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified 
#關(guān)于上面的“split-tunnel-policy”后面可以接三種類型的規(guī)則，如下：
#tunnelspecified表示所有匹配的流量走隧道，我這里選擇的就是這個(gè)；
#tunnelall：所有流量必須走隧道，即不做分離隧道，這是默認(rèn)設(shè)置，一般不使用該選項(xiàng)；
#excludespecified：所有不匹配ACL的流量走隧道，不推薦使用此選項(xiàng)。
ASA-1(config-group-policy)# split-tunnel-network-list value split-acl   #引用之前創(chuàng)建的ACL
ASA-1(config-group-policy)# exit
ASA-1(config)# tunnel-group test-group type ipsec-ra   #指定組的類型是ipsec-ra（遠(yuǎn)程訪問(wèn)）
ASA-1(config)# tunnel-group test-group general-attributes     #配置屬性
ASA-1(config-tunnel-general)# address-pool test-pool   #引用剛才定義的“地址池”
ASA-1(config-tunnel-general)# default-group-policy test-group   #調(diào)用組策略
ASA-1(config-tunnel-general)# exit
#配置傳輸集用戶名及共享密鑰
ASA-1(config)# tunnel-group test-group ipsec-attributes  
ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123
ASA-1(config-tunnel-ipsec)# exit

#下面是配置"階段2——數(shù)據(jù)連接"
ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac 
ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set  #配置動(dòng)態(tài)map
ASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap   #將動(dòng)態(tài)map引入靜態(tài)map
ASA-1(config)# crypto map test-stamap int outside   #應(yīng)用到外網(wǎng)接口，也就是outside口

公司網(wǎng)關(guān)ASA防火墻關(guān)于虛擬專用網(wǎng)的配置已經(jīng)完成了，現(xiàn)在使用客戶端安裝專用軟件，連接虛擬專用網(wǎng)，并測(cè)試訪問(wèn)即可。

（2）客戶端配置如下：

將我提供的壓縮包解壓后安裝虛擬專用網(wǎng)的客戶端軟件：

還需要再次解壓，選擇解壓到哪里：

解壓后，會(huì)彈出下面的安裝向?qū)?，如下，選擇安裝語(yǔ)言：

基本上就是無(wú)腦下一步了，自己看吧！

選擇安裝路徑：

等待安裝完成即可！

安裝完成后，可以通過(guò)以下來(lái)找到client軟件：

單擊打開(kāi)client：

添加一個(gè)連接：

填寫(xiě)具體信息：

連接虛擬專用網(wǎng)：

彈出以下對(duì)話框后，填寫(xiě)在網(wǎng)關(guān)設(shè)備上創(chuàng)建的用戶及密碼：

連接成功后，可以查看我們客戶端的網(wǎng)絡(luò)適配器有什么變化。

使用客戶端分別訪問(wèn)www.lvjianzhao.com 及 www.baidu.com 即可驗(yàn)證公司內(nèi)網(wǎng)及Internet上的http服務(wù)和DNS服務(wù)

至此，效果實(shí)現(xiàn)，客戶端既可以訪問(wèn)公司內(nèi)網(wǎng)的服務(wù)，也可以訪問(wèn)Internet的服務(wù)，OK，齊活。

———————— 本文至此結(jié)束，感謝閱讀 ————————