Cisco ASA 5505配置AnyConnect Client VPN

这肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章，但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。

ASA本身带有设置向导，但是这个向导并没有覆盖用户所需的各方面工作内容，并且有些步骤讲解的也很模糊，会让用户难以适从。实际上我们的工作可以分为四个步骤：设置SSL验证，配置VPN，然后设置正确的NAT规则，最后如果需要可以开启split-tunneling 。SSL验证可以让用户通过加密隧道从互联网访问企业内网的资源。在下面的讲解中，使用的是自签名的验证方式用于测试，如果是实际应用，则应该通过第三方认证机构获取SSL认证证书。VPN的设置相对简单。然后我们还会详细介绍一下向导所讲的内容和配置步骤。最后一步的设置可以让用户同时访问内网和外网信息。下面是针对实验环境所作的配置步骤，测试的实验环境可以连接内网和外网，设置有DMZ，并安装了思科ASDM和CLI。

设置 SSL证书

点击顶部的Configuration按钮并选择Remote Access VPN

点击 Certificate Management 然后点击 Identity Certificates

点击Add 然后选择 Add a new identity certificate.

点击 New 然后输入新的VPN名字(比如VPN)

点击 Generate Now.

你需要输入FQDN(全称域名)，比如CN=vpn.domain.com 然后点击 OK.

勾选Generate Self Signed Certificate然后点击 Add Certificate.

点击 OK.

设置AnyConnect Remote Access VPN:

点击Wizards 然后进入VPN 向导界面

勾选AnyConnect SSL VPN Client (AnyConnect VPN Client)

选择一个连接名称(如VPN)

确保选择的是 Outside接口

在证书下拉菜单中选择我们刚建立的那个证书。

注意一下从客户端访问VPN的地址(比如ip.add.re.ss:444)

点击 Next

可以使用本地数据库用户(自己建立几个用户)或者使用LDAP里的信息(比如你的活动目录用户)

点击 Next

建立一个新的策略并为其命名(比如AnyConnect)，然后点击Next

点击New 为用户建立一个地址池。注意不要使用与内网相同的子网。比如内网使用的是192.168.100.0/24 ，那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20个 IP地址，可以设置起始IP地址为192.168.104.20，结束IP地址为192.168.104.40.

从下拉菜单中选择刚才建立的地址池。如果内网没有使用Ipv6，就不用考虑Ipv6地址池的问题。

至于AnyConnect的图像，你可以浏览一下本地或者用SMARTnet账户登录Cisco网站下载然后上传到此处。

点击 Finish。也可以先点击 Apply保存设置。

建立 NAT 豁免规则(为了快捷使用CLI)

连接到防火墙的 CLI

在配置模式下输入以下命令：

access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0

tunnel-group VPN general-attributes

address-pool AnyConnect (这是我们之前建立的地址池名称)

现在你就可以通过VPN连接到内网环境了。但是用户可能在连接互联网时遇到限制。所以接下来我们要配置split-tunneling让这些VPN 用户能够访问到互联网。如果需要极度安全，那么就不要配置split-tunnel。这是一个实用性与安全性取舍的问题，大家可以权衡一下再做决定。因为 VPN用户肯定不希望仅仅为了在google上查下资源或者看看自己的私人邮箱就必须得退出VPN。

配置 split-tunnel:

回到 ASDM 界面点击Configure,然后是Remote Access VPN,然后选Network Access. 选择Group Policies.

点击我们在向导中建立的组策略，然后选择Edit.

扩展 Advanced 然后点击Split Tunneling

取消 Inherit Policy 并从下拉菜单中选择 Tunnel Network List Below

取消 Network List然后点击 Manage

点击Add 然后Add ACL

为 ACL起个名字，然后再次点击Add并选Add ACE

在 Add ACE 窗口里点击Permit 然后选择内网地址(192.168.100.0)

点击 OK然后确保新的ACL存在于 Network List中。

再次点击 OK。

点击 Apply然后点击Save.

这样你的VPN就可以正常运转，并且VPN客户可以直接在VPN连接中访问互联网了。