小鳥前幾天遇到要修改防火墻超時時間和生命時間，特意找文檔看了下，現(xiàn)在分享給碰壁的童靴

原地址 ：http://wenku.baidu.com/view/e8bda8c56137ee06eff918b0.html

?

?

?

?

?

??1、IPSECIPSEC ?VPN?

VPN 基本配置基本配置

?access-list nono--nat extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0? ? ?定義VPN數(shù)據(jù)流??

nat (inside) 0 access-list nono--nat ? ? ? ?設(shè)置IPSEC VPN數(shù)據(jù)不作nat翻譯 ?

?

ip local pool vpnvpn--pool 172.16.100.1-172.16.100.100 mask 255.255.255.0 ? ? ? ? ??劃分地址池，用于VPN用戶撥入之后分配的地址 ?

crypto ipsec transform-set vpnset esp-des esp-md5-hmac ? ? ? ? ? ? ? ? ? ? ? ? ??定義一個變換集myset，用esp-md5加密的??

?

crypto dynamic-map dymap 10 set transform-set vpnset ? ? ? ? ?把vpnset添加到動態(tài)加密策略dynmap??

?

crypto dynamic-map dymap 10 set reverse-route ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??設(shè)置路由反轉(zhuǎn) ?

?

crypto map vpnmap 10 ipsec-isakmp dynamic dymapdymap ? ? ? ? ? ? ? ?把動態(tài)加密策略綁定到vpnmap動態(tài)加密圖上??

?

crypto map vpnmap interface outside ? ? ? ? ? ???把動態(tài)加密圖vpnmap綁定到outside口 ?

?

crypto isakmp identity address ??

crypto isakmp enable outside ? ? ? ? ? ? ?outside接口啟用isakmp

?

?

crypto isakmp policy 10 ? //進入isakmp的策略定義模式 ?

?

authentication pre-share ?//使用pre-shared key進行認證?

?encryption des ? ?//定義協(xié)商用DES加密算法（與前面對應(yīng)，這里使用des，而不是3des）?

?hash md5 ? ??? ??//定義協(xié)商用md5加密算法(和前面一樣，網(wǎng)上使用的是sha，我這里為了配合前面的sp-md5-hmac，而使用md5) ?

?

group 2 ? ?//定義協(xié)商組為2，標準有1、2、3、5等多組，主要用于塊的大小和生命時間等?

?

?lifetime 86400 ? ? ??//定義生命時間???

?

group-policy whjt ?internal ?定義策略組（用于想進入的）想要運用策略組就必須用默認的策略組名，否則無法激活該組

?

group-policy whjt ?attributes ? ? ? ? //定義策略組屬性?

?

?vpn-idle-timeout 1800 ? ? ? ?//設(shè)置VPN超時時間為1800秒?? ?

?

tunnel-group whjt ?type ipsec-ra ? ??建立VPN 遠程登入(即使用隧道分離)組

?

?tunnel-group whjt ?general-attributes ???定義隧道組"whjt"屬性?

?address-pool vpn-pool ? ? 將VPN client地址池綁定到"whjt"隧道組

?

??username test ?password testtest ? ? ? ?設(shè)定用戶名和密碼?

?authentication-server-group (outside) LOCAL ? ? ? 本地認證服務(wù)組(本條命令沒用）?

?

?default-group-policy whjt ? ??? 默認策略組為whjt ?

?

tunnel-group whjt ?ipsec-attributes ? ??定義whjt組IPSec的屬性?

?

?pre-shared-key 730211 ? ??? 定義共享密鑰為：730211 ?

isakmp nat-traversal 20?

//每20秒向VPN對端發(fā)送一個包來防止中間PAT設(shè)備的PAT超時，就相當于路由器中的 isakmp keepalive threshold 20?

?

retry 2 ? ? ? ? ? ? ? ? ??在生存時間監(jiān)控前，設(shè)備被允許空閑20秒，發(fā)現(xiàn)生存時間沒有響應(yīng)后，2秒鐘內(nèi)重試 ?

?

sysopt connection permit-vpn?

通過使用sysopt connect命令，我們告訴ASA準許SSL/IPsec客戶端繞過接口的訪問列表(未加此命令會出現(xiàn)可以ping能內(nèi)網(wǎng)地址，但不能訪問內(nèi)網(wǎng)服務(wù)，比如23、80等端口） ?

?

?

2、開啟隧道分離?

access-list vpvpnsplitnsplitnsplit ?standard permit 192.168.222.0 255.255.255.0 //注意源地址為ASA的inside網(wǎng)絡(luò)地址?

?

group-policy whjt ?attributes ?//定義策略組屬性?

?

split-tunnel-policy tunnelspecifiedtunnelspecified ? ?//建立隧道分離策略為tunnelspecified?

?

split-tunnel-network-list value vpnsplit ?//與vpnsplit匹配的網(wǎng)絡(luò)將全部使用隧道分離 注1：如要實現(xiàn)VPN用戶能ping通ASA的inside口，即192.168.222.1192.168.222.1，，可以可以在在防火墻中加入如下命令防火墻中加入如下命令：： ?

?

managementmanagement--access insideaccess inside ?

注2：如果遠程用戶上互聯(lián)網(wǎng)是通過nat方式上網(wǎng)方式上網(wǎng)（（所有寬帶用戶都通過同一個公網(wǎng)IP訪問外部訪問外部），），那么通那么通過如下命令可穿越natnat：： crypto isakmp natcrypto isakmp nat--traversal 20 ?//缺省keepalives時間20秒 ??

?

?3、客戶端的配置

?

我使用的客戶端是Cisco VPN Client 5.0，配置如下圖： Host：ASA外網(wǎng)口IP，組賬號：whjt ，密碼：730211?

?

??

配置好后，連接VPN，會彈出下面對話框，輸入遠程用戶的用戶名和密碼，上例均為test?

ASA5510

?

test# sh run?

:?

Saved : ?

ASA Version 8.0(2)

??! ?

hostname test?

domain-name test.net?

enable password ? ?2KFQnbNIdI.2KYOU ?encrypted

? ? ?names

?! ?

interface Ethernet0/0 ?

? ?nameif outside ?

? ?security-level ?0?

? ?ip ?address 10.65.222.1 255.255.128.0

??! ?

interface Ethernet0/1 ?

? ? nameif inside?

? ?security-level 100?

? ip address 192.168.222.1 255.255.255.0

??! ?

interface Ethernet0/2 ?shutdown ?

? ?no nameif?

? ?no security-level?

? ? no ip address

?! ?

interface Ethernet0/3 ?shutdown ?

? ?no nameif?

? ?no security-level ?

? ? no ip address

?! ?

interface Management0/0 ?shutdown ??

? ? no nameif?

? ? no security-level ?

? ? no ip address

?! ?

passwd ? 2KFQnbNIdI.2KYOU?encrypted?

? ?ftp ? mode passive?

? ?dns ?server-group ? ?DefaultDNS

? ?domain-name test.net?

access-list 101 ?extended permit icmp any any?

access-list nono--nat ?extended permit ip 192.168.222.0 255.255.255.0 172.16.100.0 255.255.255.0 ?

access-list vpnsplit ?standard permit 192.168.222.0 255.255.255.0?

?

?

?

pager ?lines ?24?

?mtu outside 1500?

?mtu inside 1500?

?

ip ?local ?pool ? ?vpn--pool ?172.16.100.1-172.16.100.100 ?mask 255.255.255.0?

? icmp ? unreachable ?rate-limit ?1 ?burst-size 1

? no asdm history enable

? ?arp timeout 14400?

global (outside) 1 10.65.222.100 ? ?netmask 255.255.128.0?

nat (inside) 0 ?access-list ? ?no--nat?

nat (inside) 1 0.0.0.0 0.0.0.0

?access-group 101 ? ? in interface outside?

route outside 0.0.0.0 0.0.0.0 10.65.156.27 1?

? timeout xlate 3:00:00?

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02?

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

?timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00?

timeout uauth 0:05:00 absolute?

dynamic-access-policy-record DfltAccessPolicy

?http 192.168.0.1 255.255.255.255 inside?

no ? snmp-server ? location?

no ? snmp-server ? contact?

snmp-server enable traps snmp authentication linkup linkdown coldstart?

?crypto ipsec transform-set vpnset ?esp-des esp-md5-hmac ?

?crypto dynamic-map dymap ?10 set transform-set vpnset?

?crypto dynamic-map dymap ?10 set reverse-route

?crypto map vpnmap ?10 ipsec-isakmp dynamic dymap

?crypto map vpnmavpnmapp ?interface outside?

?crypto isakmp identity address ?

? crypto isakmp enable outside?

? crypto isakmp enable inside

? crypto isakmp policy 10?

? ? ? ? ? ?authentication pre-share ?encryption des ?hash md5 ?group 2?

? ? ? ? ? ?lifetime 86400?

telnet 192.168.222.0 255.255.255.0 inside

?telnet timeout 5?

ssh 10.65.128.0 255.255.128.0 outside

?ssh 0.0.0.0 0.0.0.0 inside?

ssh timeout 60?

ssh version 1 console timeout 0?

management-access inside?

threat-detection basic-threat

?

?

?

?

threat-detection statistics access-list

?! ?

! ?

group-policy?whjt??internal

?group-policy?whjt??attributes?

? ? ???vpn-idle-timeout 1800 ? ? ? ? ? ? //我在實際中一般用3600000，時間長些不易掉線?

? ? ? split-tunnel-policy ? ?tunnelspecified?

? ? ? split-tunnel-network-list ? value vpnsplit?

username test ?password ? 4ttSyrm33SV8TYp ?encrypted

?tunnel-group whjt ?type remote-access

?tunnel-group whjt ?general-attributes?

? ? ? ? ?address-pool ? vpn--pool?

? ? ? ? ?default-group-policy?whjt?

tunnel-group?whjt? ? ipsec-attributes?

? ? ? ?pre-shared-key *?

isakmp keepalive threshold 20 retry 2??

??prompt hostname context ?

Cryptochecksum:6f13b4f4e5c0d5f0a08f0f86be414b16

?: end?

總結(jié)

以上是生活随笔為你收集整理的转载——Cisco ASA5510防火墙IP secure 配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。