這肯定不是第一篇撰寫有關(guān)“用Cisco設(shè)備快速搭建VPN簡明指南”的文章，但我們還是希望這篇指南能夠成為廣大使用ASA 5505設(shè)備的用戶在設(shè)置VPN和連接互聯(lián)網(wǎng)方面的一站式指南。

ASA本身帶有設(shè)置向?qū)?，但是這個向?qū)Р]有覆蓋用戶所需的各方面工作內(nèi)容，并且有些步驟講解的也很模糊，會讓用戶難以適從。實(shí)際上我們的工作可以分為四個步驟：設(shè)置SSL驗證，配置VPN，然后設(shè)置正確的NAT規(guī)則，最后如果需要可以開啟split-tunneling 。SSL驗證可以讓用戶通過加密隧道從互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)的資源。在下面的講解中，使用的是自簽名的驗證方式用于測試，如果是實(shí)際應(yīng)用，則應(yīng)該通過第三方認(rèn)證機(jī)構(gòu)獲取SSL認(rèn)證證書。VPN的設(shè)置相對簡單。然后我們還會詳細(xì)介紹一下向?qū)v的內(nèi)容和配置步驟。最后一步的設(shè)置可以讓用戶同時訪問內(nèi)網(wǎng)和外網(wǎng)信息。下面是針對實(shí)驗環(huán)境所作的配置步驟，測試的實(shí)驗環(huán)境可以連接內(nèi)網(wǎng)和外網(wǎng)，設(shè)置有DMZ，并安裝了思科ASDM和CLI。

設(shè)置 SSL證書

點(diǎn)擊頂部的Configuration按鈕并選擇Remote Access VPN

點(diǎn)擊 Certificate Management 然后點(diǎn)擊 Identity Certificates

點(diǎn)擊Add 然后選擇 Add a new identity certificate.

點(diǎn)擊 New 然后輸入新的VPN名字(比如VPN)

點(diǎn)擊 Generate Now.

你需要輸入FQDN(全稱域名)，比如CN=vpn.domain.com 然后點(diǎn)擊 OK.

勾選Generate Self Signed Certificate然后點(diǎn)擊 Add Certificate.

點(diǎn)擊 OK.

設(shè)置AnyConnect Remote Access VPN:

點(diǎn)擊Wizards 然后進(jìn)入VPN 向?qū)Ы缑?/p>

勾選AnyConnect SSL VPN Client (AnyConnect VPN Client)

選擇一個連接名稱(如VPN)

確保選擇的是 Outside接口

在證書下拉菜單中選擇我們剛建立的那個證書。

注意一下從客戶端訪問VPN的地址(比如ip.add.re.ss:444)

點(diǎn)擊 Next

可以使用本地數(shù)據(jù)庫用戶(自己建立幾個用戶)或者使用LDAP里的信息(比如你的活動目錄用戶)

點(diǎn)擊 Next

建立一個新的策略并為其命名(比如AnyConnect)，然后點(diǎn)擊Next

點(diǎn)擊New 為用戶建立一個地址池。注意不要使用與內(nèi)網(wǎng)相同的子網(wǎng)。比如內(nèi)網(wǎng)使用的是192.168.100.0/24 ，那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20個 IP地址，可以設(shè)置起始IP地址為192.168.104.20，結(jié)束IP地址為192.168.104.40.

從下拉菜單中選擇剛才建立的地址池。如果內(nèi)網(wǎng)沒有使用Ipv6，就不用考慮Ipv6地址池的問題。

至于AnyConnect的圖像，你可以瀏覽一下本地或者用SMARTnet賬戶登錄Cisco網(wǎng)站下載然后上傳到此處。

點(diǎn)擊 Finish。也可以先點(diǎn)擊 Apply保存設(shè)置。

建立 NAT 豁免規(guī)則(為了快捷使用CLI)

連接到防火墻的 CLI

在配置模式下輸入以下命令：

access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0

tunnel-group VPN general-attributes

address-pool AnyConnect (這是我們之前建立的地址池名稱)

現(xiàn)在你就可以通過VPN連接到內(nèi)網(wǎng)環(huán)境了。但是用戶可能在連接互聯(lián)網(wǎng)時遇到限制。所以接下來我們要配置split-tunneling讓這些VPN 用戶能夠訪問到互聯(lián)網(wǎng)。如果需要極度安全，那么就不要配置split-tunnel。這是一個實(shí)用性與安全性取舍的問題，大家可以權(quán)衡一下再做決定。因為 VPN用戶肯定不希望僅僅為了在google上查下資源或者看看自己的私人郵箱就必須得退出VPN。

配置 split-tunnel:

回到 ASDM 界面點(diǎn)擊Configure,然后是Remote Access VPN,然后選Network Access. 選擇Group Policies.

點(diǎn)擊我們在向?qū)е薪⒌慕M策略，然后選擇Edit.

擴(kuò)展 Advanced 然后點(diǎn)擊Split Tunneling

取消 Inherit Policy 并從下拉菜單中選擇 Tunnel Network List Below

取消 Network List然后點(diǎn)擊 Manage

點(diǎn)擊Add 然后Add ACL

為 ACL起個名字，然后再次點(diǎn)擊Add并選Add ACE

在 Add ACE 窗口里點(diǎn)擊Permit 然后選擇內(nèi)網(wǎng)地址(192.168.100.0)

點(diǎn)擊 OK然后確保新的ACL存在于 Network List中。

再次點(diǎn)擊 OK。

點(diǎn)擊 Apply然后點(diǎn)擊Save.

這樣你的VPN就可以正常運(yùn)轉(zhuǎn)，并且VPN客戶可以直接在VPN連接中訪問互聯(lián)網(wǎng)了。