返回
asa5510防火墙vpn配置

asa5510防火墙vpn配置

ID:21769359

大小:104.50 KB

页数:13页

时间:2018-10-24

asa5510防火墙vpn配置_第1页
asa5510防火墙vpn配置_第2页
asa5510防火墙vpn配置_第3页
asa5510防火墙vpn配置_第4页
asa5510防火墙vpn配置_第5页
资源描述:

《asa5510防火墙vpn配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ASA5510防火墙remoteipsecvpn配置   1、IPSEC VPN基本配置access-listno-natextendedpermitip192.168.222.0255.255.255.0172.16.100.0255.255.255.0//定义VPN数据流nat(inside)0access-listno-nat//设置IPSECVPN数据不作nat翻译 iplocalpoolvpn-pool172.16.100.1-172.16.100.100mask255.255.255.0//划分地址池,用于VPN用户拨入之后分配的地址。 cryptoipsectr

2、ansform-setvpnsetesp-desesp-md5-hmac//定义一个变换集myset,用esp-md5加密的。(网上一般都是用esp-3desesp-sha-hmac或esp-des esp-sha-hmac,而我使用的防火墙没开启3des,所以只能使用esp-des;至于esp-sha-hmac,不知为什么,使用它隧道组始终无法连接上,所以改用esp-md5-hmac。具体原因不清楚。)(补充:后来利用ASA5520防火墙做了关于esp-3desesp-sha-hmac加密的测试,成功!)cryptodynamic-mapdymap10settransfor

3、m-setvpnset//把vpnset添加到动态加密策略dynmapcryptodynamic-mapdymap10setreverse-routecryptomapvpnmap10ipsec-isakmpdynamicdymap//把动态加密策略绑定到vpnmap动态加密图上cryptomapvpnmapinterfaceoutside//把动态加密图vpnmap绑定到outside口cryptoisakmpidentityaddresscryptoisakmpenableoutside//outside接口启用isakmp cryptoisakmppolicy10//进

4、入isakmp的策略定义模式 authenticationpre-share //使用pre-sharedkey进行认证 encryptiondes//定义协商用DES加密算法(与前面对应,这里使用des,而不是3des) hashmd5//定义协商用md5加密算法(和前面一样,网上使用的是sha,我这里为了配合前面的esp-md5-hmac,而使用md5) group2//定义协商组为2,标准有1、2、3、5等多组,主要用于块的大小和生命时间等 lifetime86400//定义生命时间 group-policywhjtinternal//定义策略组(用于想进入的)想要运用

5、策略组就必须用默认的策略组名,否则无法激活该组。group-policywhjtattributes//定义策略组属性 vpn-idle-timeout1800//设置VPN超时时间为1800秒  tunnel-groupwhjttypeipsec-ra//建立VPN远程登入(即使用隧道分离)组tunnel-groupwhjtgeneral-attributes//定义隧道组"whjt"属性 address-poolvpn-pool//将VPNclient地址池绑定到"whjt"隧道组 usernametestpasswordtest//设定用户名和密码 authentica

6、tion-server-group(outside)LOCAL//本地认证服务组(本条命令没用) default-group-policywhjt//默认策略组为whjttunnel-groupwhjtipsec-attributes//定义whjt组IPSec的属性 pre-shared-key730211//定义共享密钥为:730211isakmpnat-traversal20//每20秒向VPN对端发送一个包来防止中间PAT设备的PAT超时,就相当于路由器中的isakmpkeepalivethreshold20retry2  在生存时间监控前,设备被允许空闲20秒,发现

7、生存时间没有响应后,2秒钟内重试sysoptconnectionpermit-vpn//通过使用sysoptconnect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表(未加此命令会出现可以ping能内网地址,但不能访问内网服务,比如23、80等端口。)  2、开启隧道分离access-listvpnsplitstandardpermit192.168.222.0255.255.255.0//注意源地址为ASA的inside网络地址group-policywhjtattributes

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。