2024年5月29日发(作者：徐梓颖)

ASA5520上配置VPN

1、Firewall：

Hostname ASA-5520

ASA-5520(config)#enable password cisco !!设置特权模式密码

ASA-5520(config)#interface Ethernet0

ASA-5520(config-if)#nameif outside

ASA-5520(config-if)#security-level 0

ASA-5520(config-if)#ip !!公网IP

ASA-5520(config)#interface Ethernet1

ASA-5520(config-if)#nameif inside

ASA-5520(config-if)#security-level 100

ASA-5520(config-if)#ip address 192.168.0.1 255.255.255.252

ASA-5520(config)#route outside 0.0.0.0 0.0.0. !!电信网关

ASA-5520(config)#route inside 192.168.1.0 255.255.255.0 192.168.0.2

ASA-5520(config)#route inside 192.168.10.0 255.255.255.0 192.168.0.2

ASA-5520(config)#route inside 192.168.20.0 255.255.255.0 192.168.0.2

ASA-5520(config)#access-list end-user deny ip 192.168.20.0 255.255.255.0 any

ASA-5520(config)#access-group end-user out interface outside

!!限制终端用户从此firewall上网

ASA-5520(config)#access-list pat permit ip 192.168.10.0 255.255.255.0 any

!!定义acl,名字为pat

ASA-5520(config)#nat (inside) 1 access-list pat

!!定义nat内口(inside),定义哪些流量的源ip地址可以被转换

ASA-5520(config)# global (outside) 1 interface

!!定义nat外口(outside),转换后的用源ip地址,此例子中,转换后的ip地址用的是outside的ip地址

ASA-5520(config)#static (inside,outside) 192.168.10.20

!!设置静态IP地址映射

ASA-5520(config)#access-list outside2inside extended permit ip any

ASA-5520(config)#access-group outside2dmz in interface outside

!!在全局模式下调用ACL

ASA-5520(config)#telnet 192.168.20.0 255.255.255.0 inside

!!设置哪些IP地址可以telnet此设备的哪个端口

ASA-5520(config)#password cisco !!配置telnet密码

2. 2、VPN 部分设定：

ip local pool remote 192.168.10.1-192.168.10.200

!!定义本地IP地址池

username cisco password cisco

!!定义本地用户数据库

crypto ipsec transform-set testset esp-3des esp-md5-hmac

第 1 页

!!定义transform-set

crypto dynamic-map testdyn 10 set transform-set testset

crypto dynamic-map testdyn 10 set reverse-route

!!对远程client设定方向routing

crypto map testmap 20 ipsec-isakmp dynamic testdyn

!!调用dynamip-map testdyn

crypto map testmap interface outside

!!在outside接口使用crypto map

crypto isakmp enable outside

!!在outside接口启用IKE phase1

crypto isakmp policy 10 !!定义IKE策略

authentication pre-share !!认证使用预共享密码

encryption 3des !!加密使用3des

hash sha !!鉴别使用sha

group 1 !!DH使用group 1

lifetime 86400 !!连接保持时间（S）

tunnel-group testgroup type ipsec-ra

!!设置testgroup为远程访问vpn

tunnel-group testgroup general-attributes

!!设置testgroup通用属性

address-pool remote

!!调用地址池remote

tunnel-group testgroup ipsec-attributes

!!设置testgroup属性

pre-shared-key cisco

!!设定组密码

第 2 页

2024年5月29日发(作者：徐梓颖)

ASA5520上配置VPN

1、Firewall：

Hostname ASA-5520

ASA-5520(config)#enable password cisco !!设置特权模式密码

ASA-5520(config)#interface Ethernet0

ASA-5520(config-if)#nameif outside

ASA-5520(config-if)#security-level 0

ASA-5520(config-if)#ip !!公网IP

ASA-5520(config)#interface Ethernet1

ASA-5520(config-if)#nameif inside

ASA-5520(config-if)#security-level 100

ASA-5520(config-if)#ip address 192.168.0.1 255.255.255.252

ASA-5520(config)#route outside 0.0.0.0 0.0.0. !!电信网关

ASA-5520(config)#route inside 192.168.1.0 255.255.255.0 192.168.0.2

ASA-5520(config)#route inside 192.168.10.0 255.255.255.0 192.168.0.2

ASA-5520(config)#route inside 192.168.20.0 255.255.255.0 192.168.0.2

ASA-5520(config)#access-list end-user deny ip 192.168.20.0 255.255.255.0 any

ASA-5520(config)#access-group end-user out interface outside

!!限制终端用户从此firewall上网

ASA-5520(config)#access-list pat permit ip 192.168.10.0 255.255.255.0 any

!!定义acl,名字为pat

ASA-5520(config)#nat (inside) 1 access-list pat

!!定义nat内口(inside),定义哪些流量的源ip地址可以被转换

ASA-5520(config)# global (outside) 1 interface

!!定义nat外口(outside),转换后的用源ip地址,此例子中,转换后的ip地址用的是outside的ip地址

ASA-5520(config)#static (inside,outside) 192.168.10.20

!!设置静态IP地址映射

ASA-5520(config)#access-list outside2inside extended permit ip any

ASA-5520(config)#access-group outside2dmz in interface outside

!!在全局模式下调用ACL

ASA-5520(config)#telnet 192.168.20.0 255.255.255.0 inside

!!设置哪些IP地址可以telnet此设备的哪个端口

ASA-5520(config)#password cisco !!配置telnet密码

2. 2、VPN 部分设定：

ip local pool remote 192.168.10.1-192.168.10.200

!!定义本地IP地址池

username cisco password cisco

!!定义本地用户数据库

crypto ipsec transform-set testset esp-3des esp-md5-hmac

第 1 页

!!定义transform-set

crypto dynamic-map testdyn 10 set transform-set testset

crypto dynamic-map testdyn 10 set reverse-route

!!对远程client设定方向routing

crypto map testmap 20 ipsec-isakmp dynamic testdyn

!!调用dynamip-map testdyn

crypto map testmap interface outside

!!在outside接口使用crypto map

crypto isakmp enable outside

!!在outside接口启用IKE phase1

crypto isakmp policy 10 !!定义IKE策略

authentication pre-share !!认证使用预共享密码

encryption 3des !!加密使用3des

hash sha !!鉴别使用sha

group 1 !!DH使用group 1

lifetime 86400 !!连接保持时间（S）

tunnel-group testgroup type ipsec-ra

!!设置testgroup为远程访问vpn

tunnel-group testgroup general-attributes

!!设置testgroup通用属性

address-pool remote

!!调用地址池remote

tunnel-group testgroup ipsec-attributes

!!设置testgroup属性

pre-shared-key cisco

!!设定组密码

第 2 页