ASA配置×××代理

时间  2021-08-13
标签 网络 ide spa 3d 代理 orm server blog dns 接口 栏目 系统网络 繁體版
原文   原文链接

某单位在国外有×××远程接入站点,使用的是ASA,配置的是EASY ×××。为方便单位国内用户查阅某些国外站点,须要经过接入远程×××后进行访问。说白了就是”fan墙”网络

原理很简单,就是将须要代理的流量引入到×××隧道中去(本例中为方便起见使用的 split-tunnel-policy tunnelall选项,实际中能够使用 split-tunnel-policy tunnelspecified并指定须要引导流量的ACL)ide

拓扑spa

1

此配置基于ASA 8.2版本,基础配置和easy ***配置不详细解释了,网上不少3d

1.基础配置代理

配置接口orm

interface GigabitEthernet0/0    
nameif internet    
security-level 0    
ip address x.x.x.x 255.255.255.224server

interface GigabitEthernet0/2    
nameif inside    
security-level 100    
ip address 10.11.254.17 255.255.255.240 blog

配置路由dns

route internet 0.0.0.0 0.0.0.0 x.x.x.x    
route inside 10.11.1.0 255.255.255.0 10.11.254.30接口

配置NAT

access-list to-internet extended permit ip 10.11.1.0 255.255.255.0 any

nat (inside) 1 access-list to-internet    
global (internet) 1 interface


2.EASY ×××配置

IKE一阶段策略

crypto isakmp policy 10    
authentication pre-share    
encryption 3des    
hash md5    
group 2

IKE二阶段策略  
crypto ipsec transform-set ***.tran esp-3des esp-sha-hmac

动态map  
crypto dynamic-map ***.dymap 10 set transform-set ***.tran

调用map  
crypto map ***.map 10 ipsec-isakmp dynamic ***.dymap

将map应用到接口  
crypto map ***.map interface internet

不要忘记启用isakmp  
crypto isakmp enable internet

定义×××客户端地址池

ip local pool ez***.pool 10.11.10.1-10.11.10.254 mask 255.255.255.0

定义tunnel-group

tunnel-group proxy.*** type remote-access    
tunnel-group proxy.*** general-attributes    
address-pool ez***.pool    
default-group-policy proxy.***.policy

定义group-policy

group-policy proxy.***.policy internal    
group-policy proxy.***.policy attributes      
***-tunnel-protocol IPSec      
password-storage enable

配置nat旁路,用于***客户端正常发访问远程内部网络

access-list bypass extended permit ip 10.11.0.0 255.255.0.0 10.0.0.0 255.0.0.0

nat (inside) 0 access-list bypass

3.隧道代理配置

same-security-traffic permit intra-interface     //因为会话须要从internet接口流进并流出,对于ASA来讲默认不容许,须要手动修改

nat (internet) 1 10.11.10.0 255.255.255.0     //***客户端地址段须要在internet接口上nat成合法地址,注意此段地址须要定义在外部接口(internet)上,由于源地址是指抵达外接口的解封后的源地址,即由ip local pool定义的分配给***客户端的地址


group-policy proxy.***.policy attributes      //修改ez***组策略属性
dns-server value 8.8.8.8                              //为×××客户端指定DNS,最好是国外的      
split-tunnel-policy tunnelall                 //将全部与流量引入到×××隧道,本例中为方便起见使用的 split-tunnel-policy tunnelall选项,实际中能够使用 split-tunnel-policy tunnelspecified并指定须要引导流量的ACL

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程