某單位在國外有***遠程接入站點,使用的是ASA,配置的是EASY ***。爲方便單位國內用戶查閱某些國外站點,需要通過接入遠程***後進行訪問。說白了就是”fan牆”
原理很簡單,就是將需要代理的流量引入到***隧道中去(本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中可以使用 split-tunnel-policy tunnelspecified並指定需要引導流量的ACL)
拓撲
此配置基於ASA 8.2版本,基礎配置和easy ***配置不詳細解釋了,網上很多
1.基礎配置
配置接口
interface GigabitEthernet0/0
nameif internet
security-level 0
ip address x.x.x.x 255.255.255.224
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.11.254.17 255.255.255.240
配置路由
route internet 0.0.0.0 0.0.0.0 x.x.x.x
route inside 10.11.1.0 255.255.255.0 10.11.254.30
配置NAT
access-list to-internet extended permit ip 10.11.1.0 255.255.255.0 any
nat (inside) 1 access-list to-internet
global (internet) 1 interface
2.EASY ***配置
IKE一階段策略
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
IKE二階段策略
crypto ipsec transform-set ***.tran esp-3des esp-sha-hmac
動態map
crypto dynamic-map ***.dymap 10 set transform-set ***.tran
調用map
crypto map ***.map 10 ipsec-isakmp dynamic ***.dymap
將map應用到接口
crypto map ***.map interface internet
不要忘記啓用isakmp
crypto isakmp enable internet
定義***客戶端地址池
ip local pool ez***.pool 10.11.10.1-10.11.10.254 mask 255.255.255.0
定義tunnel-group
tunnel-group proxy.*** type remote-access
tunnel-group proxy.*** general-attributes
address-pool ez***.pool
default-group-policy proxy.***.policy
定義group-policy
group-policy proxy.***.policy internal
group-policy proxy.***.policy attributes
***-tunnel-protocol IPSec
password-storage enable
配置nat旁路,用於***客戶端正常發訪問遠程內部網絡
access-list bypass extended permit ip 10.11.0.0 255.255.0.0 10.0.0.0 255.0.0.0
nat (inside) 0 access-list bypass
3.隧道代理配置
same-security-traffic permit intra-interface //由於會話需要從internet接口流進並流出,對於ASA來說默認不允許,需要手動修改
nat (internet) 1 10.11.10.0 255.255.255.0 //***客戶端地址段需要在internet接口上nat成合法地址,注意此段地址需要定義在外部接口(internet)上,因爲源地址是指抵達外接口的解封后的源地址,即由ip local pool定義的分配給***客戶端的地址
group-policy proxy.***.policy attributes //修改ez***組策略屬性
dns-server value 8.8.8.8 //爲***客戶端指定DNS,最好是國外的
split-tunnel-policy tunnelall //將所有與流量引入到***隧道,本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中可以使用 split-tunnel-policy tunnelspecified並指定需要引導流量的ACL