Cisco防火牆ASA-EZ***配置
Easy ***也叫做EZ***,是Cisco爲遠程用戶、分支辦公室提供的一種遠程訪問***解決方案,Ez***提供了中心的***管理,動態的策略分發,降低了遠程訪問***部署的複雜程度,並且增加了擴展和靈活性。
Easy ***特點介紹:
1. Easy ***是Cisco私有技術,只能運用在Cisco設備。
2. Easy ***適用於中心站點固定地址,客戶端動態地址的環境,並且客戶端身後網絡環境需要儘可能簡單,例如:小超市,服裝專賣店或者彩票點。
3. Easy ***在中心站點配置策略,並且當客戶連接的時候推送給客戶,降低了分支站點的管理壓力。
Easy ***中心站點管理的內容:
1. 協商的隧道參數,例如:地址,算法和生存時間。
2. 使用已配置的參數建立隧道。
3. 動態的爲硬件客戶端配置NAT或者PAT地址轉換。
4. 使用組,用戶和密碼認證客戶
5. 管理加解密密鑰。
6. 驗證,加解密隧道數據。
ASA8.4之後部分IKEv1的***和之前8.0.3時代的配置幾乎是一樣的,僅僅只是增加了一個ikev1的關鍵字。下面我就ASA8.4部分IKEv1的Ez***配置進行一下介紹
拓撲圖:
ASAIKEv1 Ez***配置:
-----------------------基本網絡----------------------------
ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 123.123.1.10 255.255.255.0
ASA(config-if)# interface Ethernet0/1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 10.254.254.1 255.255.255.252
ASA(config)# route outside 0.0.0.0 0.0.0.0 123.123.1.1
ASA(config)# route Inside 10.10.1.0 10.254.254.2(僅僅只爲解密後流量運用這條目的路由訪問內網資源)
-----------------------Ez*** crypto策略----------------------------
ASA(config)# crypto ikev1 enable outside
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config)# crypto ipsec ikev1 transform-set ezset esp-des esp-md5-hmac
ASA(config)# crypto dynamic-map ezdymap 10 set ikev1 transform-set ezset
ASA(config)# crypto dynamic-map ezdymap 10 set reverse-route
ASA(config)# crypto map ez***map 10 ipsec-isakmp dynamic ezdymap
ASA(config)# crypto map ez***map interface Outside
ASA(config)# tunnel-group ez***group typeremote-access
ASA(config)# tunnel-group ez***group ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key ccieccie
-----------------------Ez*** 用戶***策略----------------------------
定義隧道分離:
ASA(config)# access-list ezSplit permit ip 10.10.1.0 255.255.255.0 any
定義地址池:
ASA(config)# ip local pool ez***pool 10.253.254.10-10.253.254.254
ASA(config)# group-policy ez***-group-policy internal (在group-policy下調用所有用戶***策略)
ASA(config)# group-policy ez***-group-policy attributes
ASA(config-group-policy)# address-pools value ez***pool
ASA(config-group-policy)# split-tunnel-policy tunnel specified
ASA(config-group-policy)# split-tunnel-network-list value ezSplit
ASA(config)# username ez*** password cisco
ASA(config)# username ez*** attributes (關聯group-policy到用戶)
ASA(config-username)# ***-group-policy ez***-group-policy
配置NAT豁免:
object network local-***-traffic
subnet 10.10.0.0 255.255.0.0
object network remote-***-traffic
subnet 10.253.254.0 255.255.255.0
nat (inside,outside) source static local-***-trafficlocal-***-traffic destination static remote-***-traffic remote-***-traffic
***Client配置: