ASA远程×××-白红宇

ASA远程×××

阅读量：6696 次

发布时间：2019-06-25

本文共 2303 字，大约阅读时间需要 7 分钟。

ASA远程×××

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.建立地址池

ASA(config)#

local pool

remote-***pool

192.168.200.100-192.168.200.250 mask

255.255.255.0

2.建立IKE

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

crypto isakmp enable outside应用在外接口上

或者

ASA(config)# isakmp policy 1

ASA(config-isakmp-policy)# authentication pre-share

ASA(config-isakmp-policy)# encryption 3des

ASA(config-isakmp-policy)# hash sha

ASA(config-isakmp-policy)# group 2

ASA(config-isakmp-policy)# lifetime 86400

ASA(config-isakmp-policy)# exit

ASA(config)#crypto isakmp enable outside

3.定义交换集(交换集名***set，全局模式下)

ASA(config)#crypto ipsec transform-set

***set

esp-3des esp-sha-hmac

4.动态加密映射(全局模式下)

ASA(config)#crypto dynamic-map

remote-***-map

20 set transform-set

***set

ASA(config)#crypto dynamic-map

remote-***-map

20 set reverse-route

ASA(config)#crypto dynamic-map

remote-***-map

20 set security-association lifetime seconds 288000

5.静态调用动态加密映射并应用到外接口上

ASA(config)# crypto map

newmap

20 ipsec-isakmp dynamic

remote-***-map

ASA(config)# crypto map

newmap

interface outside

6.NAT穿越

它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包，只有协议号，没有端口号，当它想穿越一个PAT设备时，由于PAT设备是基于端

口的转换，所以ESP包过不了，这时就要将它封装进UDP包才能正常传输（源目端口都是UDP4500）

ASA(config)# crypto isakmp nat-traversal

7.配置访问列表旁路

通过使用sysopt connect命令，我们告诉ASA准许SSL/IPsec 客户端绕过接口的访问列表

ASA(config)# sysopt connection permit-ipsec

8.创建与设置组策略(组策略名remote-***)

ASA(config)# group-policy

remote-***

internal

ASA(config)# group-policy

remote-***

attributes

ASA(config-group-policy)# dns-server value 1

92.168.1.3 202.96.209.133

ASA(config-group-policy)# ***-tunnel-protocol ipsec

ASA(config-group-policy)# default-domain value

contoso

com

ASA(config-group-policy)# exit

9.遂道组的建立以属性的设置(***client是组用户名自己设定)

ASA(config)# tunnel-group

***client

type ipsec-ra

ASA(config)# tunnel-group

***client

ipsec-attributes

ASA(config-tunnel-ipsec)# pre-shared-key

cisco123

ASA(config-tunnel-ipsec)# exit

ASA(config)# tunnel-group

***client

general-attributes

ASA(config-tunnel-general)# authentication-server-group LOCAL

ASA(config-tunnel-general)# default-group-policy

remote-***

ASA(config-tunnel-general)# address-pool

remote-***pool

ASA(config-tunnel-general)# exit

红色标记的是需要自己定义的

10.配置用户

转载于:https://blog.51cto.com/loverain/813813

你可能感兴趣的文章

linux中telnet 带外管理服务器的设置

查看>>

用户登录认证

查看>>

Web版RSS阅读器（一）——dom4j读取xml(opml)文件

查看>>

百度UEditor编辑器ueditor.setContent总是报错

查看>>

属性化字符串问题集

查看>>

Windows 2012 下如何强制同步 AD SYSVOL

查看>>

Java AtomicInteger的用法

NetApp DataONTAP 集群模式学习笔记2

Java为Hyperledger Fabric(超级账本)开发区块链链代码智能合约之环境部署

rabbitmq java.util.concurrent.TimeoutException