第七步:NAT穿越
它的主要作用是将三层IPSEC的ESP流量转发为四层的UDP流量。ESP是一个三层的包,只有协议号,没有端口号,当它想穿越一个PAT设备时,由于PAT设备是基于端口的转换,所以ESP包过不了,这时就要将它封装进UDP包才能正常传输(源目端口都是UDP4500)
QUANMA-T(config)# crypto isakmp nat-traversal //缺省keepalives时间20秒
第八步:配置访问列表旁路
通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:
QUANMA-T(config)# sysopt connection permit-ipsec
第九步:创建与设置组策略
组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为vpnclient的组策略。
QUANMA-T(config)# group-policy vpnclient internal
QUANMA-T(config)# group-policy vpnclient attributes
QUANMA-T(config-group-policy)# dns-server value 61.139.2.69
QUANMA-T(config-group-policy)# vpn-tunnel-protocol ipsec
QUANMA-T(config-group-policy)# default-domain value liuty.cn
QUANMA-T(config-group-policy)# exit
第十步:遂道组的建立以属性的设置
QUANMA-T(config)# tunnel-group vpnclient type ipsec-ra
QUANMA-T(config)# tunnel-group vpnclient ipsec-attributes
QUANMA-T(config-tunnel-ipsec)# pre-shared-key cisco123
QUANMA-T(config-tunnel-ipsec)# exit
QUANMA-T(config)# tunnel-group vpnclient general-attributes
QUANMA-T(config-tunnel-general)# authentication-server-group LOCAL
QUANMA-T(config-tunnel-general)# default-group-policy vpnclient
QUANMA-T(config-tunnel-general)# address-pool vpnpool
QUANMA-T(config-tunnel-general)# exit
而在这里vpnclient就是我们在设置组用户的用户名,域共享密钥就是我们组用户的密码。
第十一步:配置用户账户
现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:
QUANMA-T(config)# username liuty password yjtfpddc
QUANMA-T(config)# username liuty attributes
QUANMA-T(config-username)# vpn-group-policy vpnclient
QUANMA-T(config-username)# exit