ASA配置***代理

原創 zzsavage 2019-02-22 20:12

某單位在國外有***遠程接入站點,使用的是ASA,配置的是EASY ***。爲方便單位國內用戶查閱某些國外站點,需要通過接入遠程***後進行訪問。說白了就是”fan牆”

原理很簡單,就是將需要代理的流量引入到***隧道中去(本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中可以使用 split-tunnel-policy tunnelspecified並指定需要引導流量的ACL)

拓撲

1

此配置基於ASA 8.2版本,基礎配置和easy ***配置不詳細解釋了,網上很多

1.基礎配置

配置接口

interface GigabitEthernet0/0    
nameif internet    
security-level 0    
ip address x.x.x.x 255.255.255.224

interface GigabitEthernet0/2    
nameif inside    
security-level 100    
ip address 10.11.254.17 255.255.255.240

配置路由

route internet 0.0.0.0 0.0.0.0 x.x.x.x    
route inside 10.11.1.0 255.255.255.0 10.11.254.30

配置NAT

access-list to-internet extended permit ip 10.11.1.0 255.255.255.0 any

nat (inside) 1 access-list to-internet    
global (internet) 1 interface


2.EASY ***配置

IKE一階段策略

crypto isakmp policy 10    
authentication pre-share    
encryption 3des    
hash md5    
group 2

IKE二階段策略  
crypto ipsec transform-set ***.tran esp-3des esp-sha-hmac

動態map  
crypto dynamic-map ***.dymap 10 set transform-set ***.tran

調用map  
crypto map ***.map 10 ipsec-isakmp dynamic ***.dymap

將map應用到接口  
crypto map ***.map interface internet

不要忘記啓用isakmp  
crypto isakmp enable internet

定義***客戶端地址池

ip local pool ez***.pool 10.11.10.1-10.11.10.254 mask 255.255.255.0

定義tunnel-group

tunnel-group proxy.*** type remote-access    
tunnel-group proxy.*** general-attributes    
address-pool ez***.pool    
default-group-policy proxy.***.policy

定義group-policy

group-policy proxy.***.policy internal    
group-policy proxy.***.policy attributes      
***-tunnel-protocol IPSec      
password-storage enable

配置nat旁路,用於***客戶端正常發訪問遠程內部網絡

access-list bypass extended permit ip 10.11.0.0 255.255.0.0 10.0.0.0 255.0.0.0

nat (inside) 0 access-list bypass

3.隧道代理配置

same-security-traffic permit intra-interface     //由於會話需要從internet接口流進並流出,對於ASA來說默認不允許,需要手動修改

nat (internet) 1 10.11.10.0 255.255.255.0     //***客戶端地址段需要在internet接口上nat成合法地址,注意此段地址需要定義在外部接口(internet)上,因爲源地址是指抵達外接口的解封后的源地址,即由ip local pool定義的分配給***客戶端的地址


group-policy proxy.***.policy attributes      //修改ez***組策略屬性
dns-server value 8.8.8.8                              //爲***客戶端指定DNS,最好是國外的      
split-tunnel-policy tunnelall                 //將所有與流量引入到***隧道,本例中爲方便起見使用的 split-tunnel-policy tunnelall選項,實際中可以使用 split-tunnel-policy tunnelspecified並指定需要引導流量的ACL

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

必利勁效果與吃法

LouisRodgers5773 2022-06-21 15:46:34

dsdsdsds

xpvjhudosp 2022-06-18 05:24:25

嗨 我在台灣介紹妹妹 行各業都有 一定會有你喜歡的 如果你給我機會 我絶對不辜負你的期望 請加入LINE:sw5562

appen884 2022-06-18 01:44:09

Aquarium Attraction Market Share, Analysis, and Forecast to 2030

chhidami 2022-06-17 21:05:09

asefsrdg

lxalnm 2022-06-17 19:38:17

加瀨siri925 約十九歲極品JK蘿莉反差嫩妹

lxiaomei2019 2022-06-17 01:53:15

德法意三國領導人現在去基輔,想幹啥?

SteveSapp9 2022-06-16 16:41:15

Herpesyl Products #1 Help Your Healthy Lifestyle Find Out Here!

hhakhfh 2022-06-16 13:13:09

Smart Headphone Market is estimated to reach USD 50.1 Bn by 2030

deepak.s.msg 2022-06-14 18:51:38

威而鋼6大迷思

LouisRodgers5773 2022-06-14 12:19:09

gyhujhgghutfyjghj

inforaiyan14 2022-06-12 19:33:05

drfgvrgdfg

inforaiyan14 2022-06-12 08:04:32

sdfwer werwerwerwe

pennyjhurd 2022-06-11 01:56:26

jurassic-world-dominion-mp4

cigole6858 2022-06-11 00:07:14

Solar Farm Market size is expected to grow USD 449.3 Bn by 2030

deepak.s.msg 2022-06-10 20:47:59