1. 移動用戶安裝Cisco vpn client和ASA之間建立remote vpn。

2.使得移動用戶通過ASA分配的內(nèi)部地址池的地址與inside 的PC1或服務(wù)器172.16.2.2進行安全的通訊。

路由的準備：

ASA: route outside 0.0.0.0 0.0.0.0 202.1.1.10

移動用戶: 網(wǎng)關(guān)指向201.1.1.10 (可以上網(wǎng)就行)

ASA的VPN配置：

第一階段策略：

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 2

第二階段策略：

Crypto ipsec transform-set myset esp-des esp-md5-hmac

定義動態(tài)map：

Crypto dynamic-map cisco 10 set transform-set myset

定義crypto map:

Crypto map cisco 10 ipsec-isakmp dynamic cisco

Crypto map cisco interface outside

定義LOCAL POOL:

Ip local pool ippool 10.1.1.1-10.1.1.100

定義tunnel-group:

Tunnel-group ipsecgroup type ipsec-ra 定義group的名字和類型

Tunnel-group ipsecgroup general-attributes

Address-pool ippool

Tunnel-group ipsecgroup ipsec-attributes

Pre-shared-key cisco

定義用戶名和密碼：

Username cisco password cisco

Tunnel split(切分通道)的配置：

Tunnel split解決了撥VPN的用戶可以上網(wǎng)又可以通過vpn訪問公司內(nèi)部服務(wù)器，通過定義一個acl的方式來向client表明那個內(nèi)部網(wǎng)絡(luò)是需要加密訪問的，其它網(wǎng)絡(luò)可以正常的明文通訊。

定義acl：

Access-list split_acl permit ip 172.16.2.0 255.255.255.0 any

格式為擴展訪問控制列表，源為希望被加密訪問的主機或網(wǎng)絡(luò),目的地是any

定義group-policy:

Group-policy split internal

Group-policy split attributes

Split-tunnel-policy tunnelspecified

Split-tunnel-network-list value split_acl

用戶調(diào)用group-policy策略：

User cisco attributes

Vpn-group-policy split