Cisco ASA防火墻之Easy虛擬專用網（解決出差員工訪

前言：上一篇博文寫了Cisco路由器之Easy虛擬專用網（解決出差員工訪問公司內網的問題），是基于公司網關設備是路由器的情況下，那么，如果是ASA防火墻的話，又該怎么配置呢？關于理論部分，在前面提到的博文鏈接中已經寫的挺詳細了，可以參考那篇博文的理論部分，這里就直接上配置了。

該博文關于虛擬專用網的理論知識點比較少，因為我之前寫過好幾篇虛擬專用網的博文了，所以關于原理方面不會重復寫，若想了解原理，可以參考以下博文（路由器和防火墻的虛擬專用網原理類似，可參考）：

• Cisco路由器之Easy虛擬專用網（解決出差員工訪問公司內網的問題）
• Cisco路由器之IPSec 虛擬專用網

1、網絡環境如下：

2、環境分析：
（1）在公司網關ASA防火墻上配置虛擬專用網，客戶端（出差人員）可以連接到虛擬專用網，并訪問內網提供的DNS服務及HTTP（www.lvjianzhao.com ） 服務（使用該域名訪問，內網中的DNS負責解析該域名），為了簡化環境，所以將內網的服務集成到一臺服務器上了。
（2）客戶端連接到虛擬專用網后，還可以使用Internet的DNS及HTTP服務，模擬www.baidu.com 網站服務，并使用Internet上的服務器提供的DNS服務解析該域名。
（3）自行配置正確的路由器接口及各個服務器的IP、網關、路由（服務器配置相應的網關，ASA防火墻只需配置接口IP及一條默認路由指向R1路由器即可，R1路由器除了接口IP以外什么都不要配置，尤其是路由表，否則可能測試不出來虛擬專用網的效果）。
（4）客戶端需要安裝Cisco提供的客戶端軟件進行連接。

3、配置前準備：

（1）下載客戶端使用的軟件，并安裝在客戶端，用來連接虛擬專用網。（我這里提供的是windows 7的client安裝包，如果客戶端是Windows 10，請參考博文：Windows 10 安裝虛擬專用網client端）。
（2）自行配置路由器接口IP地址及路由（這些基礎配置命令就不展示了，我之前的博文有寫到過，或者自行百度吧）。。
（3）自行配置各個服務器及客戶端的IP及網關。
（4）自行在相關服務器上搭建HTTP服務及DNS服務（這兩個服務不是這篇博客想要介紹的，我這里簡單搭了一個，我之前的博文有搭相關服務的，可以自行查看）。

4、開始配置：

配置舉例：

ASA-1(config-if)# route outside 0 0 200.0.0.2     #配置ASA防火墻配置去往外網的路由
#以下是配置接口區域及IP地址，并開啟接口
ciscoasa(config-if)# in e0/1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh

當所有基礎配置（接口IP地址、路由、網關）配置完畢后，即可進行以下虛擬專用網的配置。

（1）公司網關ASA防火墻置如下：

ASA-1(config)# username lvjianzhao password 2019.com  #配置客戶端連接使用的用戶名/密碼
ASA-1(config)# crypto isakmp enable outside   #outside接口開啟 isakmp
#以下是配置"階段1——管理連接："
ASA-1(config)# crypto isakmp policy 10
ASA-1(config-isakmp-policy)# encryption 3des 
ASA-1(config-isakmp-policy)# hash sha
ASA-1(config-isakmp-policy)# authentication pre-share 
ASA-1(config-isakmp-policy)# group 2
ASA-1(config-isakmp-policy)# exit

#接下來"配置階段1.5"，就是需要在管理連接后建立成功后，推送給客戶端的配置了。
#以下是配置一個地址池，池中的地址是向客戶端分發的，
#地址池的網段地址，不可以和內網使用同一網段，否則將會影響最終通信
ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210
#以下是定義一個命名的ACL，這個ACL是推送給客戶端使用的，只有ACL允許的源地址是可以被客戶端訪問的。
//這個ACL是允許192.168.0.0去往任何地址，當推送到客戶端時，就會反過來。
#變成了允許任何IP地址訪問192.168.0.0。因為這里的源地址是站在路由器的角度的。
ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
#以下是創建用戶組， internal 表示策略定義在本地，可以改為external表示策略定義AAA服務器
ASA-1(config)# group-policy test-group internal 
ASA-1(config)# group-policy test-group attributes     #配置用戶組的屬性
ASA-1(config-group-policy)# dns-server value 192.168.0.1   #指定分發給客戶端的DNS地址
ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified 
#關于上面的“split-tunnel-policy”后面可以接三種類型的規則，如下：
#tunnelspecified表示所有匹配的流量走隧道，我這里選擇的就是這個；
#tunnelall：所有流量必須走隧道，即不做分離隧道，這是默認設置，一般不使用該選項；
#excludespecified：所有不匹配ACL的流量走隧道，不推薦使用此選項。
ASA-1(config-group-policy)# split-tunnel-network-list value split-acl   #引用之前創建的ACL
ASA-1(config-group-policy)# exit
ASA-1(config)# tunnel-group test-group type ipsec-ra   #指定組的類型是ipsec-ra（遠程訪問）
ASA-1(config)# tunnel-group test-group general-attributes     #配置屬性
ASA-1(config-tunnel-general)# address-pool test-pool   #引用剛才定義的“地址池”
ASA-1(config-tunnel-general)# default-group-policy test-group   #調用組策略
ASA-1(config-tunnel-general)# exit
#配置傳輸集用戶名及共享密鑰
ASA-1(config)# tunnel-group test-group ipsec-attributes  
ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123
ASA-1(config-tunnel-ipsec)# exit

#下面是配置"階段2——數據連接"
ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac 
ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set  #配置動態map
ASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap   #將動態map引入靜態map
ASA-1(config)# crypto map test-stamap int outside   #應用到外網接口，也就是outside口

公司網關ASA防火墻關于虛擬專用網的配置已經完成了，現在使用客戶端安裝專用軟件，連接虛擬專用網，并測試訪問即可。

（2）客戶端配置如下：

將我提供的壓縮包解壓后安裝虛擬專用網的客戶端軟件：

還需要再次解壓，選擇解壓到哪里：

解壓后，會彈出下面的安裝向導，如下，選擇安裝語言：

基本上就是無腦下一步了，自己看吧！

選擇安裝路徑：

等待安裝完成即可！

安裝完成后，可以通過以下來找到client軟件：

單擊打開client：

添加一個連接：

填寫具體信息：

連接虛擬專用網：

彈出以下對話框后，填寫在網關設備上創建的用戶及密碼：

連接成功后，可以查看我們客戶端的網絡適配器有什么變化。

使用客戶端分別訪問www.lvjianzhao.com 及 www.baidu.com 即可驗證公司內網及Internet上的http服務和DNS服務

至此，效果實現，客戶端既可以訪問公司內網的服務，也可以訪問Internet的服務，OK，齊活。

———————— 本文至此結束，感謝閱讀 ————————