ASA/PIX:使用CLI和ASDM配置IPSec VPN客户端的静态IP寻址示例

下载选项

  • PDF     (901.0 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (750.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.4 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2009 年 2 月 23 日
文档 ID:109639

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何使用自适应安全设备管理器(ASDM)或CLI配置Cisco 5500系列自适应安全设备(ASA)以向VPN客户端提供静态IP地址。ASDM 通过一个直观且易于使用的基于 Web 的管理界面提供一流的安全管理和监控。完成 Cisco ASA 配置后,可使用 Cisco VPN 客户端对其进行验证。

要在 Cisco VPN 客户端(适用于 Windows 的 4.x 版本)和 PIX 500 系列安全设备 7.x 之间设置远程访问 VPN 连接,请参阅使用 Windows 2003 IAS RADIUS(针对 Active Directory)进行身份验证的 PIX/ASA 7.x 和 Cisco VPN 客户端 4.x 配置示例。远程VPN客户端用户使用Microsoft Windows 2003 Internet身份验证服务(IAS) RADIUS服务器对Active Directory进行身份验证。

要使用 Cisco 安全访问控制服务器(ACS 3.2 版)进行扩展身份验证 (Xauth) 以在 Cisco VPN 客户端(适用于 Windows 的 4.x 版)与 PIX 500 系列安全设备 7.x 之间设置远程访问 VPN 连接,请参阅使用 Cisco 安全 ACS 身份验证的 PIX/ASA 7.x 和 Cisco VPN 客户端 4.x 配置示例。

先决条件

要求

本文档假设 ASA 处于完全运行状态,并配置为允许 Cisco ASDM 或 CLI 进行配置更改。

注意:请参阅允许对ASDM进行HTTPS访问PIX/ASA 7.x:在内部和外部接口上配置SSH的配置示例,以允许通过ASDM或安全外壳(SSH)对设备进行远程配置。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco 自适应安全设备软件版本 7.x 及更高版本

  • 自适应安全设备管理器5.x版及更高版本

  • Cisco VPN Client版本4.x及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可用于Cisco PIX安全设备版本7.x及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意:要获取有关本部分中所使用命令的更多信息,可使用命令查找工具(仅限已注册客户)。

网络图

本文档使用以下网络设置:

asa-vpn-static-asdm-config1.gif

注意:此配置中使用的IP编址方案在Internet上不能合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。

配置远程访问 VPN (IPSec)

ASDM 步骤

执行下列步骤以配置远程访问 VPN:

  1. 选择 Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add 以创建 ISAKMP 策略。

    asa-vpn-static-asdm-config20.gif

  2. 提供 ISAKMP 策略详细信息。

    asa-vpn-static-asdm-config2.gif

    单击 OK,然后单击 Apply。

  3. 选择 Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters 以启用外部接口上的 IKE。

    asa-vpn-static-asdm-config21.gif

  4. 选择 Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add 以创建 ESP-DES-SHA 转换集,如下所示。

    asa-vpn-static-asdm-config3.gif

    单击 OK,然后单击 Apply。

  5. 选择 Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add 以使用优先级为 1 的动态策略创建加密映射,如下所示。

    asa-vpn-static-asdm-config4.gif

    单击 OK,然后单击 Apply。

  6. 选择 Configuration > Remote Access VPN > AAA Setup > Local Users > Add 以创建用于 VPN 客户端访问的用户帐户(例如,用户名 - cisco123,口令 - cisco123)。

    asa-vpn-static-asdm-config7.gif

  7. 转到 VPN Policy 并为用户“cisco123”添加静态/专用 IP 地址,如下所示。

    asa-vpn-static-asdm-config22.gif

  8. 选择 Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools 并单击 Add 为 VPN 客户端用户添加 VPN 客户端。

    asa-vpn-static-asdm-config23.gif

  9. 选择 Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add 以添加隧道组(例如,TunnelGroup1,Preshared key 为 cisco123),如下所示。

    asa-vpn-static-asdm-config19.gif

    • Basic 选项卡中,为 User Authentication 字段选择 LOCAL 作为 Server Group。

    • 选择 vpnclient1 作为 VPN 客户端用户的 Client Address Pools。

    asa-vpn-static-asdm-config24.gif

    Click OK.

  10. 选择 Advanced > Client Addressing 并选中 Use address pool 复选框,以便将 IP 地址分配至 VPN 客户端。

    注意:确保Use authentication serverUse DHCP这两个复选框处于未选中状态。

    asa-vpn-static-asdm-config25.gif

    Click OK.

  11. 启用 Outside 接口允许 IPSec 访问。单击 Apply 继续。

    asa-vpn-static-asdm-config26.gif

使用 CLI 配置 ASA/PIX

完成以下步骤,以便通过命令行配置 DHCP 服务器向 VPN 客户端提供 IP 地址。有关所使用的每个命令的详细信息,请参阅配置远程接入 VPN 或 Cisco ASA 5500 系列自适应安全设备命令参考。

ASA 设备上的运行配置 
ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.10.2 255.255.255.0


!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
192.168.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal


!--- Specifies that the IP address to the vpn clients are assigned by the local and not by AAA or dhcp. The CLI vpn-addr-assign local for VPN address assignment through ASA is hidden in the CLI provided by show run command. 

no vpn-addr-assign aaa
no vpn-addr-assign dhcp

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal


!--- In order to identify remote access users to the Security Appliance, !--- you can also configure usernames and passwords on the device. !--- specify the IP address to assign to a particular user, use the vpn-framed-ip-address command !--- in username mode 

username cisco123 password ffIRPGpDSOJh9YLq encrypted
username cisco123 attributes
  vpn-framed-ip-address 192.168.5.1 255.255.255.0

!--- Create a new tunnel group and set the connection !--- type to remote-access.

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient1


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Cisco VPN 客户端配置

尝试使用 Cisco VPN 客户端连接到 Cisco ASA,以便验证是否已成功配置 ASA。

  1. 选择开始 > 程序 > Cisco Systems VPN 客户端 > VPN 客户端

  2. 单击 New 以启动 Create New VPN Connection Entry 窗口。

    asa-vpn-static-asdm-config11.gif

  3. 填写新连接的详细信息。

    输入 Connection Entry 的名称与说明。在 Host 框中输入 ASA 的外部 IP 地址。然后按照 ASA 中的配置输入 VPN 隧道组名称 (TunnelGroup1) 和口令(预共享密钥 - cisco123)。Click Save.

    asa-vpn-static-asdm-config12.gif

  4. 单击要使用的连接,然后在 VPN 客户端主窗口中单击 Connect。

    asa-vpn-static-asdm-config13.gif

  5. 出现提示时,输入在ASA中为Xauth配置的Username : cisco123Password : cisco123,然后单击OK连接远程网络。

    asa-vpn-static-asdm-config14.gif

  6. 现在 VPN 客户端将与中心站点的 ASA 建立连接。

    asa-vpn-static-asdm-config15.gif

  7. 成功建立连接后,在 Status 菜单中选择 Statistics 以验证隧道的详细信息。

    asa-vpn-static-asdm-config16.gif

验证

显示命令

使用本部分可确认配置能否正常运行。

命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show crypto isakmp sa — 显示对等体上的所有当前 IKE 安全关联 (SA)。

  • show crypto ipsec sa — 显示当前 SA 使用的设置。

故障排除

本部分提供的信息可用于对配置进行故障排除。此外本部分还提供了 debug 输出示例。

注意:有关远程访问IPSec VPN故障排除的详细信息,请参阅最常见的L2L和远程访问IPSec VPN故障排除解决方案

清除安全关联

进行故障排除时,请务必在做出更改后清除现有的安全关联。在 PIX 的特权模式下,使用以下命令:

  • clear [crypto] ipsec sa - 删除活动 IPsec SA。关键字 crypto 是可选的。

  • clear [crypto] isakmp sa - 删除活动 IKE SA。关键字 crypto 是可选的。

故障排除命令

命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意:使用debug命令之前,请参阅有关Debug命令的重要信息

  • debug crypto ipsec 7 - 显示阶段 2 的 IPsec 协商。

  • debug crypto isakmp 7 - 显示第 1 阶段的 ISAKMP 协商。

相关信息

修订历史记录

版本 发布日期 备注
1.0
16-Feb-2009
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品