Cisco ASA 5505配置AnyConnect Client VPN

网络 路由交换
本文将教大家如何利用Cisco ASA 5505快速设置VPN并连接到互联网。这篇指南将会成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。

这肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章,但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。

ASA本身带有设置向导,但是这个向导并没有覆盖用户所需的各方面工作内容,并且有些步骤讲解的也很模糊,会让用户难以适从。实际上我们的工作可以分为四个步骤:设置SSL验证,配置VPN,然后设置正确的NAT规则,最后如果需要可以开启split-tunneling 。SSL验证可以让用户通过加密隧道从互联网访问企业内网的资源。在下面的讲解中,使用的是自签名的验证方式用于测试,如果是实际应用,则应该通过第三方认证机构获取SSL认证证书。VPN的设置相对简单。然后我们还会详细介绍一下向导所讲的内容和配置步骤。最后一步的设置可以让用户同时访问内网和外网信息。下面是针对实验环境所作的配置步骤,测试的实验环境可以连接内网和外网,设置有DMZ,并安装了思科ASDM和CLI。

设置 SSL证书

点击顶部的Configuration按钮并选择Remote Access VPN

点击 Certificate Management 然后点击 Identity Certificates

点击Add 然后选择 Add a new identity certificate.

点击 New 然后输入新的VPN名字(比如VPN)

点击 Generate Now.

你需要输入FQDN(全称域名),比如CN=vpn.domain.com 然后点击 OK.

勾选Generate Self Signed Certificate然后点击 Add Certificate.

点击 OK.

设置AnyConnect Remote Access VPN:

点击Wizards 然后进入VPN 向导界面

勾选AnyConnect SSL VPN Client (AnyConnect VPN Client)

选择一个连接名称(如VPN)

确保选择的是 Outside接口

在证书下拉菜单中选择我们刚建立的那个证书。

注意一下从客户端访问VPN的地址(比如ip.add.re.ss:444)

点击 Next

可以使用本地数据库用户(自己建立几个用户)或者使用LDAP里的信息(比如你的活动目录用户)

点击 Next

建立一个新的策略并为其命名(比如AnyConnect),然后点击Next

点击New 为用户建立一个地址池。注意不要使用与内网相同的子网。比如内网使用的是192.168.100.0/24 ,那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20个 IP地址,可以设置起始IP地址为192.168.104.20,结束IP地址为192.168.104.40.

从下拉菜单中选择刚才建立的地址池。如果内网没有使用Ipv6,就不用考虑Ipv6地址池的问题。

至于AnyConnect的图像,你可以浏览一下本地或者用SMARTnet账户登录Cisco网站下载然后上传到此处。

点击 Finish。也可以先点击 Apply保存设置。

建立 NAT 豁免规则(为了快捷使用CLI)

连接到防火墙的 CLI

在配置模式下输入以下命令:

access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0

tunnel-group VPN general-attributes

address-pool AnyConnect (这是我们之前建立的地址池名称)

现在你就可以通过VPN连接到内网环境了。但是用户可能在连接互联网时遇到限制。所以接下来我们要配置split-tunneling让这些VPN 用户能够访问到互联网。如果需要极度安全,那么就不要配置split-tunnel。这是一个实用性与安全性取舍的问题,大家可以权衡一下再做决定。因为 VPN用户肯定不希望仅仅为了在google上查下资源或者看看自己的私人邮箱就必须得退出VPN。

配置 split-tunnel:

回到 ASDM 界面点击Configure,然后是Remote Access VPN,然后选Network Access. 选择Group Policies.

点击我们在向导中建立的组策略,然后选择Edit.

扩展 Advanced 然后点击Split Tunneling

取消 Inherit Policy 并从下拉菜单中选择 Tunnel Network List Below

取消 Network List然后点击 Manage

点击Add 然后Add ACL

为 ACL起个名字,然后再次点击Add并选Add ACE

在 Add ACE 窗口里点击Permit 然后选择内网地址(192.168.100.0)

点击 OK然后确保新的ACL存在于 Network List中。

再次点击 OK。

点击 Apply然后点击Save.

这样你的VPN就可以正常运转,并且VPN客户可以直接在VPN连接中访问互联网了。

责任编辑:遗忘者 来源: ZDNet
相关推荐

2010-08-05 13:32:58

2009-10-14 09:52:16

2010-07-30 15:59:44

配置

2011-11-25 14:15:02

IPsec VPNIPsec VPN配置

2010-09-25 16:46:28

2009-12-01 10:35:50

Cisco 路由器VP

2014-04-30 15:36:05

2009-10-26 11:43:43

2010-09-25 16:34:30

CISCO ASA

2010-09-25 11:32:06

cisco dhcp

2011-11-29 16:08:30

IPsec VPN

2010-08-06 13:14:53

思科路由器IOS和ASDM

2012-09-27 09:51:00

2011-05-03 09:22:41

2010-08-03 08:52:57

配置

2011-07-25 12:53:34

MPLS VPNCisco

2010-09-16 13:16:20

CISCO PPPoE

2010-09-06 14:32:55

CISCO PPP配置

2015-10-12 18:01:10

2011-11-29 14:50:19

IPSecVPN
点赞
收藏

51CTO技术栈公众号