はじめに:前ボーエンが書いた簡単Ciscoルータ、仮想プライベートネットワーク(会社のネットワークにアクセスする従業員の中出張で問題を解決するために)、企業のゲートウェイデバイスに基づいているのであるルータ、そして、もしASAファイアウォール、その後、どのようにすべき設定それは?理論的な部分については、上記のリンクにボーエンは、私は設定に直接ここで、ボーエンを読むことの理論的な部分を指し、非常に詳細に書かれています。
尊重の原則は、あなたが原則を理解したいならば、あなたは以下のブログ(ルータやファイアウォールを参照することができ、書き込みが繰り返されることはありませんでので、私は、かなりの数の仮想プライベートネットワークの前にブログ記事を書いたので、ボーエン理論的な知識仮想プライベートネットワークは、比較的小さいです同様の仮想プライベートネットワークの原則、参照):
1、ネットワーク環境は、次のように:
2、環境分析:
企業ASAファイアウォール上の仮想プライベートネットワークゲートウェイを設定(1)、クライアント(旅行者)は、DNSサービスおよびHTTP(www.lvjianzhao.com)サービスを提供するために、仮想プライベートネットワーク、およびアクセスネットワークに接続することができます環境を簡単にするために、(ドメイン名を使用してアクセス、ネットワークがDNSドメイン名を解析するための責任がある)ので、ネットワークサービスは、サーバの起動に統合します。
(2)クライアントは、仮想プライベートネットワークに接続するために、あなたはまた、インターネットのDNSおよびHTTPサービス、アナログwww.baidu.comサイトサービス、およびそれを解決するために提供するインターネットサービス上のDNSサーバの使用を使用することができます。
(3)IPサーバの各ルータインターフェイスと自己正しいを設定するゲートウェイ、ルート(ゲートウェイサーバ構成に対応する、ASAファイアウォールは、R1は、インターフェイスIPルータR1は何もに加えて、とすることができるルータのIPとデフォルトルートを設定する必要があります)特にルーティングテーブルに、設定しないでください、またはそれは、仮想プライベートネットワークの効果をテストするために出てくるないかもしれません。
(4)クライアントが接続するためにシスコが提供するクライアントソフトウェアをインストールする必要があります。
3、前提条件の前に:
(1)下载客户端使用的软件,并安装在客户端,用来连接虚拟专用网。(我这里提供的是windows 7的client安装包,如果客户端是Windows 10,请参考博文:Windows 10 安装虚拟专用网client端)。
(2)自行配置路由器接口IP地址及路由(这些基础配置命令就不展示了,我之前的博文有写到过,或者自行百度吧)。。
(3)自行配置各个服务器及客户端的IP及网关。
(4)自行在相关服务器上搭建HTTP服务及DNS服务(这两个服务不是这篇博客想要介绍的,我这里简单搭了一个,我之前的博文有搭相关服务的,可以自行查看)。
4、开始配置:
配置举例:
ASA-1(config-if)# route outside 0 0 200.0.0.2 #配置ASA防火墙配置去往外网的路由
#以下是配置接口区域及IP地址,并开启接口
ciscoasa(config-if)# in e0/1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no sh
当所有基础配置(接口IP地址、路由、网关)配置完毕后,即可进行以下虚拟专用网的配置。
(1)公司网关ASA防火墙置如下:
ASA-1(config)# username lvjianzhao password 2019.com #配置客户端连接使用的用户名/密码
ASA-1(config)# crypto isakmp enable outside #outside接口开启 isakmp
#以下是配置"阶段1——管理连接:"
ASA-1(config)# crypto isakmp policy 10
ASA-1(config-isakmp-policy)# encryption 3des
ASA-1(config-isakmp-policy)# hash sha
ASA-1(config-isakmp-policy)# authentication pre-share
ASA-1(config-isakmp-policy)# group 2
ASA-1(config-isakmp-policy)# exit
#接下来"配置阶段1.5",就是需要在管理连接后建立成功后,推送给客户端的配置了。
#以下是配置一个地址池,池中的地址是向客户端分发的,
#地址池的网段地址,不可以和内网使用同一网段,否则将会影响最终通信
ASA-1(config)# ip local pool test-pool 192.168.1.200-192.168.1.210
#以下是定义一个命名的ACL,这个ACL是推送给客户端使用的,只有ACL允许的源地址是可以被客户端访问的。
//这个ACL是允许192.168.0.0去往任何地址,当推送到客户端时,就会反过来。
#变成了允许任何IP地址访问192.168.0.0。因为这里的源地址是站在路由器的角度的。
ASA-1(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any
#以下是创建用户组, internal 表示策略定义在本地,可以改为external表示策略定义AAA服务器
ASA-1(config)# group-policy test-group internal
ASA-1(config)# group-policy test-group attributes #配置用户组的属性
ASA-1(config-group-policy)# dns-server value 192.168.0.1 #指定分发给客户端的DNS地址
ASA-1(config-group-policy)# split-tunnel-policy tunnelspecified
#关于上面的“split-tunnel-policy”后面可以接三种类型的规则,如下:
#tunnelspecified表示所有匹配的流量走隧道,我这里选择的就是这个;
#tunnelall:所有流量必须走隧道,即不做分离隧道,这是默认设置,一般不使用该选项;
#excludespecified:所有不匹配ACL的流量走隧道,不推荐使用此选项。
ASA-1(config-group-policy)# split-tunnel-network-list value split-acl #引用之前创建的ACL
ASA-1(config-group-policy)# exit
ASA-1(config)# tunnel-group test-group type ipsec-ra #指定组的类型是ipsec-ra(远程访问)
ASA-1(config)# tunnel-group test-group general-attributes #配置属性
ASA-1(config-tunnel-general)# address-pool test-pool #引用刚才定义的“地址池”
ASA-1(config-tunnel-general)# default-group-policy test-group #调用组策略
ASA-1(config-tunnel-general)# exit
#配置传输集用户名及共享密钥
ASA-1(config)# tunnel-group test-group ipsec-attributes
ASA-1(config-tunnel-ipsec)# pre-shared-key pwd123
ASA-1(config-tunnel-ipsec)# exit
#下面是配置"阶段2——数据连接"
ASA-1(config)# crypto ipsec transform-set test-set esp-3des esp-sha-hmac
ASA-1(config)# crypto dynamic-map test-dymap 1 set transform-set test-set #配置动态map
ASA-1(config)# crypto map test-stamap 1000 ipsec-isakmp dynamic test-dymap #将动态map引入静态map
ASA-1(config)# crypto map test-stamap int outside #应用到外网接口,也就是outside口
公司网关ASA防火墙关于虚拟专用网的配置已经完成了,现在使用客户端安装专用软件,连接虚拟专用网,并测试访问即可。
(2)客户端配置如下:
将我提供的压缩包解压后安装虚拟专用网的客户端软件:
还需要再次解压,选择解压到哪里:
解压后,会弹出下面的安装向导,如下,选择安装语言:
基本上就是无脑下一步了,自己看吧!
选择安装路径:
等待安装完成即可!
安装完成后,可以通过以下来找到client软件:
单击打开client:
添加一个连接:
填写具体信息:
连接虚拟专用网:
弹出以下对话框后,填写在网关设备上创建的用户及密码:
连接成功后,可以查看我们客户端的网络适配器有什么变化。
使用客户端分别访问www.lvjianzhao.com 及 www.baidu.com 即可验证公司内网及Internet上的http服务和DNS服务
至此,效果实现,客户端既可以访问公司内网的服务,也可以访问Internet的服务,OK,齐活。
———————— 本文至此结束,感谢阅读 ————————