青蛙學堂
CISCO ASA5500防火墙 动态VPN配置!
前言:
近年来,随着信息
网络
的不断发展,越来越多的公司建立了
VPN
网络。一些大的公司的总部与分公司及办事处已经建立了
VPN
网络,但投资过大。目前随着
VPN
技术的不断成熟,动态
VPN
应用越来越多,市面上此类产品也越来越多。但对于一些大的公司,总部的防火墙使用的是
cisco ASA
防火墙,而分公司通常没有专用的防火墙,特别是一些办事处,没有专线,没有固定
IP
,只是通过
ADSL
动态拨号的方式上网。如果要求总部与办事处建立
site to site
之
VPN
网络,就需要建立动态
VPN
,而目前
ASA
550
0
系列防火墙只支持静态
IP
建立
site to site
之
VPN
,所以可以在办事处或分公司的路由器上与总部的
ASA
防火墙建立动态
VPN
。
环境:
总部:内网
---
à
中心交换机
----
à
ASA5510
防火墙
---
à
光纤专线连接到
Internet
分公司或办事处:内网
---
à
交换机
----
à
cisco2611
路由器
---
à
ADSL modem
连接到
Internet
配置
步骤:
总部的
ASA5510
配置
ASA Version 7.2(1)
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 203.132.90.89 255.255.255.252
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.3.254 255.255.255.0
access-list 120 extended permit ip any any
access-list 110 extended permit ip 192.168.3.0 255.255.255.0 172.16.1.0 255.255.255.0
asdm image disk0:/asdm505.bin
global (outside) 1 interface
nat (inside) 0 access-list 110
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 120 in interface outside
route outside 0.0.0.0 0.0.0.0 203.132.90.90 1
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set xp esp-des esp-sha-hmac
crypto dynamic-map cmldynamic 10 set transform-set xp
crypto map jiangmap 10 ipsec-isakmp dynamic cmldynamic
crypto map jiangmap interface outside
isakmp enable outside
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption des
isakmp policy 9 hash sha
isakmp policy 9 group 1
isakmp policy 9 lifetime 86400
tunnel-group DefaultRAGroup ipsec-attributes
注意:上两行与
pix
配置有区别
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:72bd465cd632f344fec7ebe02a5a27ed
: end
办事处
cisco2611
路由器配置:
ip nbar pdlm flash:bittorrent.pdlm
!
!
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key xin%909988 address 203.132.90.89
!
crypto ipsec transform-set jiangset esp-des esp-sha-hmac
!
crypto map jiangmap 20 ipsec-isakmp
set peer 203.132.90.89
set transform-set jiangset
match address 110
!
mta receive maximum-recipients 0
!
!
class-map match-all bittorrent
match protocol bittorrent
!
policy-map cmlqos
class bittorrent
drop
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
service-policy output cmlqos
!
interface FastEthernet0/1
no ip address
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username dg50987634 password 7 121C58495740435F55
crypto map jiangmap
!
ip nat inside source list 120 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 110 permit ip 172.16.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 120 deny
ip 172.16.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 120 permit ip 172.16.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
call rsvp-sync
!
mgcp profile default
!
dial-peer cor custom
!
end
posted on 2011-08-31 10:46
青蛙學堂
阅读(1057)
评论(0)
编辑
收藏
引用
所属分类:
硬件百科
只有注册用户
登录
后才能发表评论。
Powered by:
IT博客
Copyright © 青蛙學堂
<
2006年9月
>
日
一
二
三
四
五
六
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
导航
IT博客
首页
新随笔
联系
管理
统计
随笔 - 426
文章 - 0
评论 - 164
引用 - 0
常用链接
我的随笔
我的评论
我参与的随笔
留言簿
(8)
给我留言
查看公开留言
查看私人留言
随笔分类
c#(58)
(rss)
CSS(7)
(rss)
Elasticsearch(4)
(rss)
ERP-U8(2)
(rss)
Fireworks
(rss)
Flash
(rss)
HTML(17)
(rss)
Java(3)
(rss)
JavaScript(31)
(rss)
Linux(5)
(rss)
LotusNotes(2)
(rss)
PHP(13)
(rss)
Python(1)
(rss)
TelePhone(1)
(rss)
VPN
(rss)
Vs2008(51)
(rss)
數據庫(61)
(rss)
硬件百科(62)
(rss)
系统(10)
(rss)
經濟論壇(18)
(rss)
網站(17)
(rss)
軟件布袋(115)
(rss)
青蛙议堂(9)
(rss)
随笔档案
2022年9月 (1)
2022年8月 (2)
2022年7月 (5)
2022年6月 (1)
2022年5月 (5)
2022年4月 (5)
2022年3月 (1)
2021年4月 (1)
2021年3月 (1)
2020年12月 (2)
2020年11月 (3)
2020年10月 (4)
2020年8月 (8)
2020年7月 (20)
2020年6月 (4)
2020年5月 (12)
2020年4月 (3)
2020年3月 (2)
2018年12月 (2)
2016年6月 (1)
2014年9月 (1)
2014年5月 (1)
2014年4月 (1)
2012年11月 (1)
2012年5月 (25)
2012年4月 (44)
2012年3月 (39)
2012年2月 (15)
2011年10月 (2)
2011年9月 (3)
2011年8月 (14)
2011年7月 (1)
2010年12月 (1)
2009年8月 (2)
2009年7月 (1)
2007年11月 (2)
2007年10月 (5)
2007年8月 (1)
2007年7月 (7)
2007年4月 (1)
2007年3月 (1)
2006年12月 (7)
2006年11月 (5)
2006年9月 (12)
2006年8月 (5)
2006年7月 (1)
2006年6月 (5)
2006年5月 (11)
2006年4月 (7)
2006年3月 (3)
2006年2月 (33)
2006年1月 (33)
2005年12月 (6)
2005年11月 (47)
收藏夹
無量洞
(rss)
百納川
(rss)
青蛙学堂
最新评论
1. re: c# Encoding.Unicode.GetBytes 转码取字符串
评论内容较长,点击标题查看
--青蛙學堂
2. re: C# 获取文件名及扩展名
well goood 6666666666666666
--6666
3. re: C# 获取文件名及扩展名
瑶瑶且可恼
--夏利
4. re: C# 获取文件名及扩展名
哟哟哟哟,切克闹
--吊炸天
5. re: php显示数据库数据
公积金
--和
6. re: AJAX--不具有名为xxxxx的公共属性 解决方法
12123
--发给
7. re: Lotus Notes 常见错误
一直显示服务器没响应,端口也连接不上
--Jason Guo
8. re: C# 获取文件名及扩展名
不好
--冰风
9. re: Lotus Notes 常见错误
NOTES怎样将所有的邮件复制到本地上呢?
--limengnan
10. re: FW:结识正能量,跟对人
太功利!
--雷鹏
11. re: C# 获取文件名及扩展名
学习了。。学习c#ing
--lvv2
12. re: Lotus Notes 常见错误
公司同事早上打开notes本来没问题的,但是安装qq浏览器后,外部发送的邮件看不了内容,但是回复或者右键点击编辑可以看到内容,是所有的外部邮件,包括以前发送的邮件
--张俊
13. re: Lotus Notes 常见错误
邮件经常提示 not a sub or function :mark message for follow up
--黄勇军
14. re: Lotus Notes 常见错误
Notes 接受外部邮件时,邮件中的表格无法显示格式,只能显示文本,但公司内部邮件没有此问题。并且外部邮件经内部同事转发后,也能正确显示格式
--Tang
15. re: Lotus Notes 常见错误
邮件中的热点链接为什么打不开?别人的可以打开.
--LH
阅读排行榜
1. C# 获取文件名及扩展名(43710)
2. Lotus Notes 常见错误(33228)
3. c# arrayList遍历(22089)
4. window.showModalDialog获取弹出页面返回值的2种方法(13522)
5. AD域维日常维护手册(8578)
6. Reporting Services 部署指南(8090)
7. ContentType--文件下载类型(6963)
8. 双网卡故障解决方法(5471)
9. c#--封装的概念(5396)
10. 如何访问局域网(4687)
11. TTimer : Delphi编写获取和设置系统时间程序(3892)
12. 用delphi写excel文件(3671)
13. CREATE INDEX(3666)
14. BAT命令(3398)
15. Access Violation at address 004CD87E in module 'MyTest.exe',Read of Address 00000008.(3181)
评论排行榜
1. Lotus Notes 常见错误(19)
2. vlan-dhcp(13)
3. 木馬(9)
4. 如何访问局域网(8)
5. 双网卡故障解决方法(8)
6. 筆記(6)
7. Edit Excel 2(5)
8. C# 获取文件名及扩展名(5)
9. sql----join(4)
10. 多VLAN环境中DHCP服务的实现(4)
11. DBCHART(4)
12. 怎樣在查詢結果中加入子序號 ? (3)
13. 多線程查詢(3)
14. CREATE TRIGGER(3)
15. trigger(2)