CISCO ASA5510 VPN配置

一、Vpn 防火墙配置

1、新建outside外部接口，定义接口安全等级0，定义内部接口安全等级为50

• Vpn  tunnel interface outside 
• Enable inbound ipsec session to bypass interface access lists.Group policy and par-users antherization access lists still apply to the traffic ---------next

2、remote access users of various types can open vpn tunnels to this asa.select the of vpn clients for turnel cisco vpn clients vpn.release 3.x or higher  这里选择VPN客户端配置方式

3、创建认证和共享秘钥

• Pre-share key password
• Tunnel goup name:cxjt

4、authentication using the local users database

• 选择本地用户密码认证，当然还有一种服务器认证模式例如域模式，可以将服务器上的域用户同步过来，在外部拨入VPN认证账号，这样可以减少账号的管理难度。

5、创建用户和密码

• Configuration---device----users AAA----USERS accounts in the main ASDM WONDOWS
• User:cxjt     password:passwords

6、创建地址池，也就是外部PC连接Firewalls时所分配的地址。

• Pool name:cxjt-pool1
• Starting ip address 192.168.18.10   Ending ip addrsss 192.168.18.100  Sub mask 255.255.255.0

7、选择可以访问的内网的网段

• Intface : inside (选内网)  Exempt Network 192.168.10.0 ,192.168.1.0
• 隧道分离 Enable split tunneling to let remote users have silmul taneous encrypted access to  the resources defined above.and unencrpted access to the.
• Enable perfect forwarding securecrt   diffile hellman group 1

二、VPN站点到站点配置site-to-site

Vpn tunnel interface ---outside

Enable inbound ipsec sessions to bypass iinterface access lists.Group policy and per-user authorization access list apply to the traffic.

选择外网接口并允许通过控制列表拓展extended，配置对等体的IP地址，加密类型、认证方式、复杂程度。56位、128位、256位加密等正常的选256位即可、加密位数越多占用的防火墙的资源就越多，多防火墙的性能要求就越高。故一般选择128位，就可以了。

建立控制列表允许源地址访问哪些目标地址列如：access-list 1 extended permit 192.168.10.0 255.255.255.0 192.168.11.0 255.255.255.0 netsub最后的8位二进制是控制访问主机的数量和范围。

可以启用生成树协议DSTP,配置SVI虚拟接口并配置IP地址，端口设置为trunk。