ASA 5500系列防火墙.ppt

CISCO ASA5500 系列自适应安全产品Cisco ASA 5500系列自系列自适应安全设适应安全设备的型号备的型号Cisco ASA 5510PIX515ECisco ASA 5520PIX525ECisco ASA 5540PIX535防火墙吞吐率高达300 Mbps188Mbps高达450 Mbps360Mbps高达650 Mbps1Gbps并发威胁防御吞吐率（防火墙+Anti-x 服务)高达150 Mbps，带AIP-SSM-10高达375 Mbps，带AIP-SSM-20高达450 Mbps，带AIP-SSM-203DES/AES VPN吞吐率高达170 Mbps130Mbos高达225 Mbps160Mbps高达325 Mbps425Mbos连接数5,000/13,0000130000280,000280,000400,000500,000IPSec VPN 对2502000 750200050002000WebVPN 对250 7502500集成I/O端口3个快速以太网端口+1个 管理端口/5个*快速以太网端口2个快速以太网端口4个 千兆以太网端口+1 个快速以太网端口2个快速以太网端口4个 千兆以太网端口+1 个快速以太网端口2个快速以太网端口Memory 256 MB128MB512 MB256MB1024 MB1024MBSystem Flash64 MB16MB64 MB16MB64 MB16MB系统总线多总线结构单总线结构多总线结构单总线结构多总线结构单总线结构高可靠性/可扩展性支持不支持/主用/备用*主用/主用和主用/备用主用/主用和主用/备用，VPN集群/负载均衡主用/主用和主用/备用主用/主用和主用/备用，VPN集群/负载均衡主用/主用和主用/备用ASA5500 ASA5500 产品参数对比表产品参数对比表产品参数对比表产品参数对比表ASA IDS 模块模块ASA 防病毒模块防病毒模块产品名称产品名称 产品编号产品编号 Cisco ASA 5510设备（3个快速以太网端口，50个VPN对，三重数字加密标准/高级加密标准3DES/AES）ASA5510-BUN-K9 Cisco ASA 5510设备，带AIP-SSM-10（3个快速以太网端口，50个VPN对，AIP-SSM-10，3DES/AES）ASA5510-AIP10-K9 Cisco ASA 5510安全增强设备（5个快速以太网端口，150个VPN对，3DES/AES）ASA5510-SEC-BUN-K9 Cisco ASA 5520设备（4个千兆以太网端口1个快速以太网端口，300个VPN对，3DES/AES）ASA5520-BUN-K9 Cisco ASA 5520设备，带AIP-SSM-10（4个千兆以太网端口1个快速以太网端口，300个VPN对，AIP-SSM-10，3DES/AES）ASA5520-AIP10-K9 Cisco ASA 5520设备，带AIP-SSM-20（4个千兆以太网端口1个快速以太网端口，300个VPN对，AIP-SSM-20，3DES/AES）ASA5520-AIP20-K9 Cisco ASA 5540设备（4个千兆以太网端口1个快速以太网端口，500个VPN对，3DES/AES）ASA5540-BUN-K9 Cisco ASA 5540设备，带AIP-SSM-20（4个千兆以太网端口1个快速以太网端口，500个VPN对，AIP-SSM-20，3DES/AES）ASA5540-AIP20-K9 ASA5500 产品订货编号产品订货编号ASA5510-CSC10-K9ASA 5510 Appl w/CSC10,SW,50 Usr AV/Spy,1 YR SubscriptN/A$14,390ASA5510-CSC20-K9ASA 5510 Appl w/CSC20,SW,500 Usr AV/Spy,1 YR SubscriptN/A$25,190ASA5520-CSC10-K9ASA 5520 Appl w/CSC10,SW,50 Usr AV/Spy,1 YR SubscriptN/A$22,390ASA5520-CSC20-K9ASA 5520 Appl w/CSC20,SW,500 Usr AV/Spy,1 YR SubscriptN/A$33,190ASA5510-AIP10-K9ASA 5510 Appliance with AIP-SSM-10,SW,3FE,3DES/AESB$12,792ASA5520-AIP10-K9ASA 5520 Appliance w/AIP-SSM-10,SW,HA,4GE+1FE,3DES/AESB$18,743ASA5520-AIP20-K9ASA 5520 Appliance w/AIP-SSM-20,SW,HA,4GE+1FE,3DES/AESB$23,993ASA5540-AIP20-K9ASA 5540 Appliance w/AIP-SSM-20,SW,HA,4GE+1FE,3DES/AESB$49,990ASA IPS bundle 订货编号订货编号ASA Anti-X bundle 订货编号订货编号ASA-CSC10-USR-100ASA 5500 Content Security SSM-10 100 User LicenseN/A$1,050ASA-CSC10-USR-100=ASA 5500 Content Security SSM-10 100 User LicenseN/A$1,050ASA-CSC10-USR-250ASA 5500 Content Security SSM-10 250 User LicenseN/A$3,150ASA-CSC10-USR-250=ASA 5500 Content Security SSM-10 250 User LicenseN/A$3,150ASA-CSC10-USR-500ASA 5500 Content Security SSM-10 500 User LicenseN/A$10,500ASA-CSC10-USR-500=ASA 5500 Content Security SSM-10 500 User LicenseN/A$10,500ASA-CSC20-USR-750ASA 5500 Content Security SSM-20 750 User LicenseN/A$6,300ASA-CSC20-USR-750=ASA 5500 Content Security SSM-20 750 User LicenseN/A$6,300ASA-CSC20-USR-1KASA 5500 Content Security SSM-20 1000 User LicenseN/A$12,600ASA-CSC20-USR-1K=ASA 5500 Content Security SSM-20 1000 User LicenseN/A$12,600ASA-CSC10-100-250=ASA 5500 Content Security SSM-10 100 to 250 User License UpgN/A$2,520ASA-CSC10-PLUSASA 5500 CSC SSM10 Plus Lic.(Spam/URL/Phish,1Yr Subscript)N/A$3,150ASA-CSC10-PLUS=ASA 5500 CSC SSM10 Plus Lic.(Spam/URL/Phish,1Yr Subscript)N/A$3,150ASA-CSC20-PLUSASA 5500 CSC SSM20 Plus Lic.(Spam/URL/Phish,1Yr Subscript)N/A$6,300ASA Anti-X 模块扩展模块扩展 订货编号订货编号ASA FireWall 技术简介ASA IPS 技术简介如何防御攻击？防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码IDS由于旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控入侵保护入侵保护系统系统IPS入侵检入侵检测系统测系统IDSIDSIPSIPS在线部署，主动防御，实时阻断攻击IPS 产品和IDS产品最大的不同:IPS产品通常串接在防火墙和交换机之间产品通常串接在防火墙和交换机之间，这点和以前基于网络的IDS不同，串联在防火墙后面的IPS检查所有进出的数据包，并且根据特征检测来识别攻击的数据包，在数据包到达目标之前就会被IPS产品中途截获，并且采取丢弃数据包、中止会话、同时修改防火墙策略，进行报警和日志的记录等动作，达到“防御”的目的。IDS 产品通常并联在交换机上产品通常并联在交换机上。IDS产品只能把攻击信息告诉防火墙，本身不能起到任何防御的作用。IDS:Intrusion Detection system 入侵检测系统入侵检测系统IPS:Intrunsion Prevention System 入侵防御系统入侵防御系统IDS&IPS 区别区别ASA Anti-X 技术简介ASA VPN 技术简介调试培训内容通过控制台接口连接到ASA基本配置命令设置 ASA 接口设置 NAT设置静态路由管理方式ASDM/telnet/ssh 访问 ASA配置DHCP配置ADSL定义安全策略设置透明模式配置L2L VPN配置远程VPN实验拓扑图122.1.1.2192.168.10.1/24通过控制台接口连接到ASA1.打开CRT软件选择快速连接2 选择协议中的Serial串行协议1.端口设置在设备管理器中查看com口2.波特率:96003.其余默认基本配置命令基本配置命令查看命令asacisco#Show version 查看ASA信息asacisco#Show run 查看ASA配置信息,是否配成功asacisco#Show interface 查看接口状基本asacisco enable -进入全局模式进入全局模式Password:-第一次登陆密码是空的第一次登陆密码是空的asacisco#conf t-主机名主机名#号代表进入全局模式号代表进入全局模式 conf t进入配置模式进入配置模式asacisco(config)#-全局配置模式asacisco(config-if)#-接口全局配置模式asacisco(config-if)#exit-退出接口全局模式,只要退出都可以使用 如果配置错误如果配置错误,在你配置的命令前面加在你配置的命令前面加no保存配置asacisco#Write 将配置写入ASAasacisco#write erase 恢复出厂配置 设置设置 ASA 接口接口asacisco(config)#interface Ethernet0/0 -进入进入E0/0接口接口asacisco(config-if)#nameif inside -定义为接口名称定义为接口名称asacisco(config-if)#security-level 100 -安全等级为安全等级为100asacisco(config-if)#ip address 10.10.10.1 255.255.255.0-接口配置地址接口配置地址asacisco(config-if)#no shut -激活接口激活接口asacisco(config-if)#exit-退出接口退出接口asacisco(config)#interface GigabitEthernet0/1 -进入进入gig0/1接口接口asacisco(config-if)#nameif DMZ -定义为接口名称定义为接口名称asacisco(config-if)#security-level 50 -安全等级为安全等级为50asacisco(config-if)#ip address 172.16.1.1 255.255.255.0-接口配置地址接口配置地址asacisco(config-if)#no shut -激活接口激活接口asacisco(config-if)#exit如果配置错误如果配置错误,在你配置的命令前面加在你配置的命令前面加no ip address接口的接口的IP地址就删处掉了地址就删处掉了设置 NATPAT端口地址转换端口地址转换asacisco(config)#nat(inside)1 10.1.1.0 255.255.255.0 -转换转换10.1.1.0内部地址内部地址asacisco(config)#nat(inside)1 0.0.0.0 0.0.0.0 -转换所以网段转换所以网段asacisco(config)#nat(dmz)1 172.16.1.0 255.255.255.0 -转换转换172.16.1.0dmz地址地址asacisco(config)#global(outside)1 interface -NAT转换为外部接口地址上互连网转换为外部接口地址上互连网DMZ的的NATasacisco(config)#global(dmz)1 172.16.1.200-172.16.1.230 netmask 255.255.255.0DMZ使用的随机使用的随机IP地址池地址池(这条命令可以使这条命令可以使inside的多台主机访问的多台主机访问dmz服务器服务器)一对一映射配置命令一对一映射配置命令asacisco(config)#static(dmz,outside)tcp 211.1.1.3 外部地址外部地址 80 外部端口外部端口 172.16.1.10 dmz地址地址 80 dmz端口端口 netmask 255.255.255.255 精确主机掩码精确主机掩码asacisco(config)#static(dmz,outside)tcp 211.1.1.3 80 172.16.1.10 80 netmask 255.255.255.255 asacisco(config)#static(inside,outside)tcp 211.1.1.4 外部地址外部地址 21 外部端口外部端口 10.1.1.2 内部地址内部地址 21 内部端口内部端口 netmask 255.255.255.255 asacisco(config)#static(inside,outside)tcp 211.1.1.4 21 172.16.1.10 21 netmask 255.255.255.255 如果配置错误如果配置错误,no nat(inside)1 0.0.0.0 0.0.0.0 这个应该用就删处掉了这个应该用就删处掉了设置静态路由asacisco(config)#route outside 0.0.0.0 0.0.0.0 211.1.1.1 -外部路由外部路由 去所有网段的数据包去所有网段的数据包 的下一跳的下一跳,是网通的网关是网通的网关211.1.1.1asacisco(config)#route inside 172.16.2.0 255.255.255.0 172.172.15.1-内部路由内部路由 如果客户内网不是一个网段如果客户内网不是一个网段,可以使用内部回指路由可以使用内部回指路由管理方式ASDM/telnet/ssh 访问 ASAasacisco(config)#http server enable -开启开启WEB管理管理asacisco(config)#http 0.0.0.0 0.0.0.0 inside 准许所有内部源地址准许所有内部源地址,访问访问WEBasacisco(config)#username cisco password cisco privilege 15 设置设置ASDM使用的用户名使用的用户名密码密码,授予授予15级最高级最高通过通过 ASDM 登陆设备（登陆设备（10.1.1.1/24）我们将安装一个我们将安装一个 ASDM launcher 到本机器，下次再登陆到本机器，下次再登陆 ADSM 时就可以直接运行该管理软件。时就可以直接运行该管理软件。输入用户名和密码输入用户名和密码 Username:cisco passwd:cisco输入用户名和密码为输入用户名和密码为 CISCO安装安装 ASDM LAUNCHER 文件后下次登文件后下次登陆就可以直接运行陆就可以直接运行launchertelnet/ssh 访问 ASAtelnet 配置asacisco(config)#telnet 0.0.0.0 0.0.0.0 inside 准许所有内部源地址准许所有内部源地址,telnet ASAasacisco(config)#passwd cisco 配置配置telnet 密码密码asacisco(config)#Enable password cisco -配置进入全局模式密码配置进入全局模式密码ssh 配置asacisco(config)#domain-name -定义域名定义域名asacisco(config)#crypto key generate rsa modulus 512 -定义加密算法定义加密算法asacisco(config)#ssh 0.0.0.0 0.0.0.0 outside 准许所有外部源地址准许所有外部源地址,ssh ASAasacisco(config)#ssh timeout 60 -超时时间超时时间asacisco(config)#username cisco password cisco privilege 15 设置设置ssh使用的用户名使用的用户名密码密码,授予授予15级最高级最高Telnet 登陆测试登陆测试利用利用 SSH client 软件进行登陆软件进行登陆配置配置DHCPdhcpd dns 202.106.0.20 202.106.46.151 配置DNS服务器地址dhcpd wins 10.1.1.20 配置WINS服务器dhcpd address 10.1.1.100-10.1.1.200 inside 分配地址100-200在inside接口dhcpd enable inside -开启inside接口上的DHCPdhcpd address 172.16.1.10-172.16.1.20dhcpd enable dmz配置配置ADSLasacisco(config)#interface Ethernet0/0 -进入接口asacisco(config-if)#nameif outsideasacisco(config-if)#security-level 0asacisco(config-if)#pppoe client vpdn group ADSL 开启pppoeasacisco(config-if)#ip address pppoe setroute 自动创建一个缺省路由asacisco(config)#vpdn group ADSL request dialout pppoe -请求pppoe拨号asacisco(config)#vpdn group ADSL localname fs87829050 ADSL用户名asacisco(config)#vpdn group ADSL ppp authentication pap -认证方式asacisco(config)#vpdn username fs87829050 password*-adsl用户名密码定义安全策略定义安全策略ACL(访问控制列表访问控制列表)分为标准和扩展分为标准和扩展,区别在与标准的只基于源区别在与标准的只基于源,而扩展的基于源和目的而扩展的基于源和目的 ACL号标准的号标准的1-99 扩展扩展100-199asacisco(config)#access-list(word)(permit/deny)(源网络源网络,源主机源主机)asacisco(config)#access-list 10 standard permit 153.31.53.0 255.255.255.0 扩展ACLasacisco(config)#access-list(word)(permit/deny)(协议协议tcp/udp/ip)(源网络源网络,源主机源主机)(目的网络目的网络,目的主机目的主机)asacisco(config)#access-list 101 permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0(-允许允许172.16.1.0/24网段访问网段访问,10.1.1.0/24网段网段)asacisco(config)#access-list 100 permit tcp any(源源)host 211.1.1.3(目的目的)eq 80-any 所有源地址所有源地址 host 只针对主机只针对主机 ep就是就是=211.1.1.3 80端口端口asacisco(config)#access-list 100 extended permit tcp any host 211.1.1.3 eq 80-允许外部所有主机访问允许外部所有主机访问211.1.1.3的的80端口端口asacisco(config)#access-group 100 in interface outside -将将100 ACL应用到应用到 outside接口上接口上asacisco(config)#access-group 101 in interface inside 将将101 ACL 应用到应用到inside接口上接口上对象分组对象分组asacisco(config)#object-group service 对象分组名字对象分组名字 tcp/udp协议协议 object-group service yongyou tcp（例子）（例子）port-object eq 5872 开启的端口开启的端口 port-object eq 1872 开启的端口开启的端口 Exit 退出退出asacisco(config)#access-list out extended permit tcp any host 211.1.1.3 object-group yongyou（写一个（写一个ACL命名为命名为out 协议为协议为tcp允许外部所有主机访问允许外部所有主机访问211.1.1.3 的的58721872）asacisco(config)#access-group out in interface outside（将（将ACL应该在应该在outside接口上接口上）设置透明模式设置透明模式转换模式转换模式设置透明模式设置透明模式定义接口定义接口设置透明模式设置透明模式设置管理设置管理 IP(211.1.1.2/24)透明模式下安全策略的定义和路由模式的透明模式下安全策略的定义和路由模式的设置是一样的设置是一样的VPN 借助借助IPSec，用户可以通过互联网等不受保护的网络传输敏，用户可以通过互联网等不受保护的网络传输敏感信息。感信息。IPSec在网络层操作，能保护和鉴别所涉及的在网络层操作，能保护和鉴别所涉及的IPSec设设备（对等物）之间的备（对等物）之间的IP包。包。IPSec提供的网络安全服务如下：提供的网络安全服务如下：数据保密性数据保密性在通过网络传输之前，IPSec发送者可以对包进行加密；数据完整性数据完整性IPSec接收者可以对IPSec发送者发出的包进行鉴别，以保证数据在传输过程中未被篡改；数据来源鉴别数据来源鉴别IPSec接收者可以识别所发送的IPSec包的来源，这种服务与数据完整性服务相关；IPSec自动建立安全通道的过程分为两个阶段自动建立安全通道的过程分为两个阶段：第一阶段：第一阶段：这个阶段通过互联网密钥交换（IKE）协议实施，能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA，以便实际传输应用数据。第二阶段：第二阶段：这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时，两台对等设备均已建立了一对IPSec SA，以便提供传输应用数据所需的安全通道。SA参数之一是寿命，可配置的寿命期结束之后，SA将自动终止，因此，这个参数能提高IPSec的安全性。IKE=isakmp配置配置L2L VPN211.1.1.2/24122.1.1.2/24总部总部s0/0internet分部分部s0/010.1.1.0/24192.168.10.0/24主要类型：站点到站点VPN和远程接入VPN是VPN的两个类型。总部准备配置写两个ACL,在后面的配置会应用到第一个用来定义要加密的源和目的,也是感兴趣流 从总部的10.1.1.0的数据到192.168.10.0 的数据加密第二个ACL,从总部的10.1.1.0的数据到192.168.10.0 不做NAT转换,10.1.1.0去别的网络继续NATasacisco(config)#access-list l2lvpn permit ip 10.1.1.0 255.255.255.0 192.168.10.0 255.255.255.0asacisco(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.10.0 255.255.255.0Asacisco(config)#access-list nonat deny ip 10.1.1.0 255.255.255.0 any 分部准备配置写两个ACL,在后面的配置会应用到第一个用来定义要加密的源和目的,也是感兴趣流 从总部的192.168.10.0的数据到10.1.1.0 的数据加密第二个ACL,从总部的192.168.10.0的数据到10.1.1.0 不做NAT转换,192.168.10.0去别的网络继续NATasacisco(config)#access-list l2lvpn permit ip 192.168.10.0 255.255.255.0 10.1.1.0 255.255.255.0asacisco(config)#access-list nonat permit ip 192.168.10.0 255.255.255.0 10.1.1.0 255.255.255.0Asacisco(config)#access-list nonat deny ip 192.168.10.0 255.255.255.0 any211.1.1.2/24122.1.1.2/24总部总部s0/0internet分部分部s0/010.1.1.0/24192.168.10.0/24总部第一阶段总部第一阶段:asacisco(config)#crypto isakmp enable outside 在在outside接口上开启接口上开启IKE asacisco(config)#crypto isakmp policy 10 进入进入IKE asacisco(config-isakmp)#authentication pre-share定义认证方式定义认证方式 asacisco(config-isakmp)#encryption 3DES 定义加密算法定义加密算法 asacisco(config-isakmp)#hash md5 定义验证数据完整性定义验证数据完整性 asacisco(config-isakmp)#group 2 定义组为定义组为2 asacisco(config-isakmp)#lifetime 86400 遂道时间分部第一阶段分部第一阶段:asacisco(config)#crypto isakmp enable outside 在在outside接口上开启接口上开启IKE asacisco(config)#crypto isakmp policy 10 进入进入IKE asacisco(config-isakmp)#authentication pre-share定义认证方式定义认证方式 asacisco(config-isakmp)#encryption 3DES 定义加密算法定义加密算法 asacisco(config-isakmp)#hash md5 定义验证数据完整性定义验证数据完整性 asacisco(config-isakmp)#group 2 定义组为定义组为2 asacisco(config-isakmp)#lifetime 86400 遂道时间遂道时间L2LVPN两端的IKE参数必须一致,不然无法完成第一阶段的IKE通道的建立配置配置L2L VPN211.1.1.2/24122.1.1.2/24总部总部s0/0internet分部分部s0/010.1.1.0/24192.168.10.0/24总部第二阶段总部第二阶段:1.配置配置IPsec参数参数,定义遂道数据中的加密方式定义遂道数据中的加密方式.配置数据转换集名字为配置数据转换集名字为vpnset 两端参数一致两端参数一致asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.配置配置IPsec遂道密码遂道密码进入遂道组进入遂道组,名字用名字用DefaultL2LGroup,属性是属性是ipsecasacisco(config)#tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key cisco-定义密码为定义密码为cisco3.创建数据加密图名字为创建数据加密图名字为VPNMAPasacisco(config)#crypto map VPNMAP 10 match address l2lvpn-把准备步骤中的把准备步骤中的l2lvpn ACL应用到加密图应用到加密图asacisco(config)#crypto map VPNMAP 10 set peer 122.1.1.2-指定要建立指定要建立VPN遂道的对端遂道的对端IP地址地址asacisco(config)#crypto map VPNMAP 10 set transform-set-vpnset 将转换集应用到加密图中将转换集应用到加密图中asacisco(config)#crypto map VPNMAP interface outside-将加密图应用到将加密图应用到outside的接口上的接口上4.对对10.1.1.0到到192.168.10.0不做不做NAT转换转换asacisco(config)#nat(inside)0 access-list nonat-把把nonat ACL应用到应用到nat中中配置完成配置完成配置配置L2L VPN211.1.1.2/24122.1.1.2/24总部总部s0/0internet分部分部s0/010.1.1.0/24192.168.10.0/24分部第二阶段分部第二阶段:1.配置配置IPsec参数参数,定义遂道数据中的加密方式定义遂道数据中的加密方式.配置数据转换集名字为配置数据转换集名字为vpnset 两端参数一致两端参数一致,不然无法建立第二阶不然无法建立第二阶段段asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.配置配置IPsec遂道密码遂道密码进入遂道组进入遂道组,名字用名字用DefaultL2LGroup,属性是属性是ipsecasacisco(config)#tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key cisco 定义密码为定义密码为cisco3.创建数据加密图创建数据加密图asacisco(config)#crypto map VPNMAP 10 match address l2lvpn-把准备步骤中的把准备步骤中的l2lvpnACL应用到加密图应用到加密图asacisco(config)#crypto map VPNMAP 10 set peer 211.1.1.2-指定要建立指定要建立VPN遂道的对端遂道的对端IP地址地址asacisco(config)#crypto map VPNMAP 10 set transform-set-vpnset 将转换集应用到加密图中将转换集应用到加密图中asacisco(config)#crypto map VPNMAP interface outside-将加密图应用到将加密图应用到outside的接口上的接口上4.对对192.168.10.0到到10.1.1.0不做不做NAT转换转换asacisco(config)#nat(inside)0 access-list nonat-把把nonat ACL应用到应用到nat中中配置完成配置完成配置配置L2L VPN配置远程配置远程 VPN211.1.1.2/24总部总部10.1.1.0/24总部准备配置为远程拨入的VPN client用户配置地址池,给拨入ASA VPN用户分配地址!名字为vpnpool,在后面配置中会用到asacisco(config)#ip local pool vpnpool 10.0.0.1-10.0.0.254 mask 255.255.255.0写两个ACL,在后面的配置会应用到第一个用来定义要加密的源和目的,也是感兴趣流 从总部的10.1.1.0的数据到10.0.0.0 的数据加密第二个ACL,从总部的10.1.1.0的数据到10.0.0.0 不做NAT转换,10.1.1.0去别的网络继续NATasacisco(config)#access-list l2lvpn permit ip 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0asacisco(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0Asacisco(config)#access-list nonat deny ip 10.1.1.0 255.255.255.0 any 写一个标准的ACL,在后面将用在组策略属性中的路由注入access-list vpnsplit standard permit 10.1.1.0 255.255.255.0 建立VPN用户Asacisco(config)#username cisco password ciscointernet211.1.1.2/24总部总部10.1.1.0/24internet总部第一阶段总部第一阶段:asacisco(config)#crypto isakmp enable outside 在在outside接口上开启接口上开启IKE asacisco(config)#crypto isakmp identity address 基于地址基于地址ISAKMPasacisco(config)#crypto isakmp policy 10 进入进入IKE asacisco(config-isakmp)#authentication pre-share定义认证方式定义认证方式 asacisco(config-isakmp)#encryption 3DES 定义加密算法定义加密算法 asacisco(config-isakmp)#hash md5 定义验证数据完整性定义验证数据完整性 asacisco(config-isakmp)#group 2 定义组为定义组为2 asacisco(config-isakmp)#lifetime 86400 遂道时间配置远程配置远程 VPN211.1.1.2/24总部总部10.1.1.0/2