...路由器下有一个服务器,现在想让分公司人也能访问总公司的服务器_百...
发布网友
发布时间:2024-10-21 21:54
共5个回答
热心网友
时间:2024-11-15 20:25
下面是我copy的其中一个!
思科路由器VPN配置
文章来源:宁波邦元培训网 作者:曹老师 点击次数:199 更新时间:2012-4-22
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。
Remote VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server 端建立VPN链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
前面我们也讲解过如何在路由器上面配置Remote VPN,那么今天我又带家来一起看看这个在ASA防火墙上面如何配置我们的Remote VPN呢。
第一步:建立一个地址池。
远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。
QUANMA-T(config)# ip local pool vpnpool 192.168.10.100-192.168.10.199 mask 255.255.255.0
第二步:建立IKE第一阶段。
QUANMA-T(config)# isakmp policy 1
QUANMA-T(config-isakmp-policy)# authentication pre-share
QUANMA-T(config-isakmp-policy)# encryption 3des
QUANMA-T(config-isakmp-policy)# hash sha
QUANMA-T(config-isakmp-policy)# group 2
QUANMA-T(config-isakmp-policy)# lifetime 43200
QUANMA-T(config-isakmp-policy)# exit
第三步:将IKE第一阶段应用在outside接口上面。
QUANMA-T(config)# isakmp enable outside
第四步:定义转换集
QUANMA-T(config)# crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
这里设置的转换集名字为vpnset。
第五步:动态加密映射配置
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set transform-set vpnset
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set reverse-route
QUANMA-T(config)# crypto dynamic-map outside-dyn-map 10 set security-association lifetime seconds 288000
第六步:在静态加密映射中调用动态加密映射并应用在接口上面
QUANMA-T(config)# crypto map outside-map 10 ipsec-isakmp dynamic outside-dyn-map
QUANMA-T(config)# crypto map outside-map interface outside
第七步:NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
QUANMA-T(config)# sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
QUANMA-T(config)# group-policy vpnclient internal
QUANMA-T(config)# group-policy vpnclient attributes
QUANMA-T(config-group-policy)# dns-server value 61.139.2.69
QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec
QUANMA-T(config-group-policy)# default-domain value liuty.cn
QUANMA-T(config-group-policy)# exit
第十步:遂道组的建立以属性的设置
QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra
QUANMA-T(config)# tunnel-group vpnclient ipsec-attributes
QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123
QUANMA-T(config-tunnel-ipsec)# exit
QUANMA-T(config)# tunnel-group vpnclient general-attributes
QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
QUANMA-T(config-tunnel-general)# default-group-policy vpnclient
QUANMA-T(config-tunnel-general)# address-pool vpnpool
QUANMA-T(config-tunnel-general)# exit
而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:
QUANMA-T(config)# username liuty password yjtfpddc
QUANMA-T(config)# username liuty attributes
QUANMA-T(config-username)# vpn-group-policy vpnclient
QUANMA-T(config-username)# exit
第十二步:配置NAT免除
现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:
QUANMA-T(config)# access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
QUANMA-T(config)# nat (inside) 0 access-list no-nat
第十三步:遂道分离设置
QUANMA-T(config)#access-list vpnclient_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
QUANMA-T(config)# group-policy vpnclient attributes
QUANMA-T(config-group-policy)# split-tunnel-policy tunnelspecified
QUANMA-T(config-group-policy)# split-tunnel-network-list value vpnclient_splitTunnelAcl
QUANMA-T(config-group-policy)# end
第十四步:保存
QUANMA-T#write memory
热心网友
时间:2024-11-15 20:21
一。是上面兄弟提到的映射,以为你服务器只有一台,这种方法实现最简单,投入最小。而且你设置好安全策略是没多大问题的。
二。 可在总公司建立一台服务器,双网卡,一网卡接你服务器,一网卡接外网ip,起pptpd vpn服务,这样就算在家里,都可以通过vpn访问总公司服务器。
方法1,对于你这种情况最现实,因为你只是访问1台设备而已。并不需要和总公司在一个广播域,共享文件等。
热心网友
时间:2024-11-15 20:22
热心网友
时间:2024-11-15 20:23
主要配置供参考:
int f0/0
ip add 192.168.0.1 255.255.255.0
ip nat inside
int f0/1
ip add 210.70.5.1 255.255.255.248
ip nat outside
ip access-group in ACL1
ip nat inside source static 192.168.0.200 210.70.5.2
ip access-list extend ACL1
per ip 123.124.12.0 0.0.0.7 host 210.70.5.2
deny ip any host 210.70.5.2
per ip any any
热心网友
时间:2024-11-15 20:25
