Cisco ASA 5505 VPN防火墙怎么设置？

1111、、、、IPSECIPSECIPSECIPSEC        *** *** *** *** 基本配置基本配置基本配置基本配置 access-list no-nat extended permit ip 1921682220 2552552550 172161000 2552552550  //定义***数据流 nat (inside) 0 access-list no-nat //设置IPSEC ***数据不作nat

cisco *** client设置教程如下：

1、安装CISCO IPSEC 客户端

解压下载的安装包后,点击***-client-222-releaseexe启动安装程序,只需在第二步时把默认的professional改为standard,其它部分只需一直按next即可

包里一共有三个文件,sites目录包含卓越***配置文件,bat结尾的为脚本文件，用来启动ipsec客户端的，可以把它拷到桌面便于启用。

2、输入***用户名和密码

右击bat结尾的脚本文件,选择编辑。可用记事本或其它文本编辑器打开该文件。

3、填入***信息

输入你的***用户名和密码，切记不要编辑未提及的其它参数。

4、开始连接

保存修改好的配置文件后,直接双击卓越***-ipsecbat即可开始通过CISCO IPSEC连接***。

5、更换服务器地址

如果服务器无法连接或因为别的原因需要更换服务器。

线路连接路由器及设置步骤：

1、将网线—路由器—电脑之间的线路连接好，启动电脑和路由器设备；

2、启动设备后，打开浏览器，在地址栏中输入19216811进入无线路由器设置界面。（如进不了请翻看路由器底部铭牌或者是路由器使用说明书，不同型号路由器设置的默认都不一样。）

3、设置界面出现一个登录路由器的帐号及密码，输入默认帐号和密码admin，也可以参考说明书；

4、登录成功之后选择设置向导的界面，默认情况下会自动弹出；

5、选择设置向导之后会弹出一个窗口说明，通过向导可以设置路由器的基本参数，直接点击下一步即可；

6、根据设置向导一步一步设置，选择上网方式，通常ADSL用户则选择第一项PPPoE，如果用的是其他的网络服务商则根据实际情况选择下面两项，如果不知道该怎么选择的话，直接选择第一项自动选择即可，方便新手操作，选完点击下一步；

7、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；

8、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网。

9、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。

R1的配置：

r1#

r1#sh run

Building configuration

Current configuration : 1521 bytes

!

version 122

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname r1

!

ip subnet-zero

!

ip audit notify log

ip audit po max-events 100

!

crypto isakmp policy 1

hash md5

authentication pre-share

group 2

crypto isakmp client configuration address-pool local pool192

!

crypto isakmp client configuration group vclient-group

key vclient-key

pool pool192

!

crypto ipsec transform-set vclient-tfs esp-des esp-md5-hmac

!

crypto dynamic-map template-map 1

set transform-set vclient-tfs

!

crypto map ***map isakmp authorization list vclient-group

crypto map ***map client configuration address respond

crypto map ***map 1 ipsec-isakmp dynamic template-map

!

fax interface-type fax-mail

mta receive maximum-recipients 0

!

interface Ethernet0/0

ip address 1011100 2552552550

half-duplex

crypto map ***map

!

interface Serial1/0

ip address 1721611 2552552550

no fair-queue

!

router ospf 100

log-adjacency-changes

redistribute static

network 10110 000255 area 0

network 1721610 000255 area 0

!

ip local pool pool192 19216811 1921681254

ip classless

ip route 19216810 2552552550 Ethernet0/0

ip http server

ip pim bidir-enable

!

call rsvp-sync

!

mgcp profile default

!

dial-peer cor custom

!

line con 0

line aux 0

line vty 0 4

login

!

end

r1#

R2的配置：

r2>en

r2#sh run

Building configuration

Current configuration : 743 bytes

!

! Last configuration change at 09:45:04 UTC Thu Nov 4 2004

! NVRAM config last updated at 09:47:55 UTC Thu Nov 4 2004

!

version 123

service config

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname r2

!

boot-start-marker

boot-end-marker

!

no aaa new-model

ip subnet-zero

!

ip cef

!

interface FastEthernet0

ip address 1721621 2552552550

speed auto

no keepalive

!

interface Serial0

ip address 1721612 2552552550

clockrate 64000

no fair-queue

!

router ospf 100

log-adjacency-changes

network 1721610 000255 area 0

network 1721620 000255 area 0

!

ip classless

no ip http server

!

line con 0

line aux 0

line vty 0 4

login

!

end

r2#

R3的配置：

r3#sh run

Building configuration

Current configuration : 1391 bytes

!

version 122

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname r3

!

logging queue-limit 100

!

ip subnet-zero

!

ip dhcp excluded-address 10221

!

ip dhcp pool dhcppool

import all

network 10220 2552552550

default-router 10221

!

mpls ldp logging neighbor-changes

!

crypto ipsec client ez*** vclient

connect auto

group vclient-group key vclient-key

local-address FastEthernet0/0

mode network-extension

peer 1011100

!

no voice hpi capture buffer

no voice hpi capture destination

!

mta receive maximum-recipients 0

!

interface FastEthernet0/0

ip address 10112 2552552550

speed auto

half-duplex

crypto ipsec client ez*** vclient

!

interface FastEthernet0/1

ip address 10221 2552552550

duplex auto

speed auto

no keepalive

crypto ipsec client ez*** vclient inside

!

router ospf 100

log-adjacency-changes

network 10110 000255 area 0

network 10220 000255 area 0

!

router ospf 100

log-adjacency-changes

network 10110 000255 area 0

network 10220 000255 area 0

!

ip http server

no ip http secure-server

ip classless

!

call rsvp-sync

!

mgcp profile default

!

dial-peer cor custom

!

line con 0

line aux 0

line vty 0 4

login

!

!

end

r3#

测试：

1 配置好R3上的*** client后，自动进行***连接。可以通过debug cry isa、deb cry ip client ez***、deb cry ip等debug命令输出的信息查看过程与结果。

2 在R1上扩展ping，source 1011100 destination 10221，通过。

查看show cry ip sa，可以发现数据没有进行加密。

3 在R1上扩展ping，source 1721611 destination 10221，通过。

查看show cry ip sa，可以发现数据通过加密进行传输。

4 在R3上扩展ping，source 10221 destination 1721611，通过。

查看show cry ip sa，可以发现数据通过加密进行传输。

5 在R3上扩展ping，source 10112 destination 1721611，通过。

查看show cry ip sa，可以发现数据不通过加密。

6 启动pc *** client，ping 1721611，通过。

在1720上查看show cry ip sa，可以看到数据通过加密进行传输。

7 在pc *** client，ping 10221，通过。

在R1和R3上查看show cry ip sa，可以看到数据通过加密进行传输。在R1上show cry isa sa，可以看到两个***连接。

8 在R3上扩展ping，source 10221 destination 192168110（pc *** client获得的ip），通过。查看show cry ip sa，可以发现数据通过加密进行传输。