搭建Easy ×××欢迎关临breaklinux工作室1,应用场景,(1)当客户端地址无法确定时,(2)员工在外地出差,紧急情况 需要维护内网设备时。2,使用XAUTH所以引入了一个RFCDE IPS
.
搭建Easy ×××
欢迎关临
breaklinux工作室
1,应用场景,
(1)当客户端地址无法确定时,
(2)员工在外地出差,紧急情况
需要维护内网设备时。
2,使用XAUTH
所以引入了一个RFCDE
IPSce 协议最初的设计并未考虑用
户验证的问题
的草案---XAUTH
它是一个***网关增强特性,
(1)存储在***网关设备的内部数据库中
(2)存储在第三方的设备上(AAA)服务器
AAA定义
Authentication (验证) :
用户是谁
Author ization(授权) :
用户可以做什么
Accounting (统计);
用户做过什么
3,RADIUS (远程验证拨入用户服务)
4,TACASC+ (终端访问控制器访问控制系统)
ASA搭建Easy *** 配置如下
(1)接口地址和路由!
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip add 100.1.1.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# exit
ciscoasa(config)# int e0/2
ciscoasa(config-if)# nameif inside #### 配置内网和外网地址
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip add 192.168.1.100 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# route outside 0.0.0.0.0 0.0.0.0 100.1.1.2 ##默认路由
(2)XAUTH的配置(防火墙默认启用了AAA,而且通过本地认证不要要开启AAA )启用命令(aaa new-model 路由需要)
(1)ciscoasa(config)# username zhangsan password 123456 ####指定用户和密码
(2)定义管理策略!
ciscoasa(config)# crypto isakmp enable outside
coasa(config)# crypto isakmp policy 10
ciscoasa(config-isakmp-policy)# encryption aes
ciscoasa(config-isakmp-policy)# hash sha
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2
ciscoasa(config-isakmp-policy)# exit
3.定义组策略
ciscoasa(config)# ip local pool aaaa 192.168.10.10-192.168.10.50
ciscoas (config)access-list s ipermit p 192.168.1.0 255.255.255.0 any
ciscoasa(config)# group-policy bbbb internal
ciscoasa(config)# group-policy bbbb attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value s
ciscoasa(config-group-policy)# exit
4,定义隧道组策略和密钥。
ciscoasa(config)# tunnel-group cccc type ipsec-ra
ciscoasa(config)# tunnel-group cccc general-attributes
ciscoasa(config-tunnel-general)# address-pool aaaa
ciscoasa(config-tunnel-general)# default-group-policy bbbb
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group cccc ipsec-attributes ### 登陆的组名
ciscoasa(config-tunnel-ipsec)# pre-shared-key 123 #####组的密码
ciscoasa(config-tunnel-ipsec)# exit
5,建立数据链接和动态map,和静态 ,将动态map包含到静态map ,将静态map引用到公网接口。
ciscoasa(config)# crypto ipsec transform-set a esp-aes esp-sha-hmac # 建立数据链接
ciscoasa(config)# crypto dynamic-map dddd 1 set transform-set a ####建立动态map包含数据链接
ciscoasa(config)# crypto map eeee 1000 ipsec-isakmp dynamic dddd ####静态包含动态map
ciscoasa(config)# crypto map eeee int outside ##应用到接口
ISP 运营商网络 只配置 ip地址
ISP(config)#int e0/0
ISP(config-if)#ip add 100.1.1.2 255.255.255.0
ISP(config-if)#no sh
ISP(config-if)#exi
ISP(config)#int e0/1
ISP(config-if)#ip add 200.1.1.100 255.255.255.0
ISP(config-if)#no sh
测试
安装
Cisco.×××.Client 连接*** 网关地址测试***搭建是否成功
测试是否分配到设置哪个ip地址池中的ip
有说明完成了搭建 easy ***
测试结果完成easy *** 上传日期:2014年8月6日
作者:——新
breaklinux工作室
错误的地方请大家指出——————谢谢 !!!
.
