ASA 8.6版本VPN配置手册

SSLVPN-Anyconnect

前提条件（Prerequisite）

在准备进行配置SSLVPN之前，请务必确定防火墙到内网可达，即必须要有路由；外网已经就绪。

route inside 172.25.64.0 255.255.240.0 172.25.66.254 (内网路由)

route outside2 0.0.0.0 0.0.0.0 221.2.102.217 (外网路由)

SSLVPN-Anyconnect配置步骤

启用SSLVPN功能（How To Enable SSLVPN）

webvpn

enable outside

anyconnect-essentials

anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg

--定义anyconnect的镜像位置（如果有MAC电脑需求，需要再增加MAC的镜像）

anyconnect enable

--启用anyconnect

定义group-policy(Define Group-policy)

group-policy Anyconnect-vpn internal

--配置group-policy为vpn的属性

group-policy Anyconnect-vpn attributes

wins-server none

vpn-tunnel-protocol ssl-client

--vpn隧道协议为ssl-client

定义VPN登录成功后，服务器给分配的地址范围 (Define VPN Pool Scope)

ip local pool Anyconnect-vpn 172.16.0.0-172.16.0.254 mask 255.255.255.0

object network Anyconnect-GS

subnet 172.16.0.0 255.255.255.0

定义tunnel-group（此案例中名字为GS）(Define Tunnel-group)

tunnel-group GS type remote-access

--定义名字为cisco的tunnel-group类型为remote-access

tunnel-group cisco general-attributes

--配置该tunnel-group的全局属性

address-pool Anyconnect-vpn

--引用之前定义好的地址池

default-group-policy Anyconnect-vpn

--该tunnel-group下引用group-policy

tunnel-group GS webvpn-attributes

--配置tunnel-group的webvpn属性，这样在进行anyconnect拨号时才能看到组

group-alias GS enable

定义SSLVPN登录的用户名和密码(Define Username and Password)

username test password 0AKWGtPSEgAcPI9K encrypted

进入test用户的属性设置，设置使用该用户名同时通过anyconnect拨VPN的数量，该数量默认为3，也就是同时只有3个人可以通过同一个test账户来拨VPN，而第4个人是无法连接上VPN的。（这里设置为同时登录数为1000）

username test attributes

vpn-simultaneous-logins 1000

这样配置完以后，外网用户即可以通过防火墙的outside地址进行anyconnect连接了。但是连上后发现自身互联网会断开，且获取到的地址无法在内网访问任何资源。

用户在不影响本地访问互联网的情况下，也可以通过VPN访问内网资源，需要使用隧道分离技术，将需要被访问的感兴趣流量分离出来，提供给VPN用户。默认不做隧道分离时，VPN用户看到的路由是0.0.0.0

定义anyconnect用户连接上SSLVPN后，需要进行访问的网段（隧道分离数据流）(Define Tunnel Split Data Flow via ACL)

access-list Anyconnect-VPN standard permit 172.25.65.21 255.255.255.252

在group-policy下引用隧道分离数据流(Citing Flow Under Group-policy)

group-policy Anyconnect-vpn attributes

split-tunnel-policy tunnelspecified

split-tunnel-network-list value Anyconnect-VPN（Anyconnect-VPN为上面定义好的acl名字）

为SSLVPN分配地址段定义object network，并且建立no-nat

nat (inside,outside) source static any any destination static Anyconnect-GS Anyconnect-GS no-proxy-arp route-lookup

定义SSLVPN用户分配到的地址允许访问内网，应用到inside接口

access-list 101 extended permit ip any 172.16.0.0 255.255.255.0

access-list 101 extended permit ip 172.16.0.0 255.255.255.0 any

access-group 101 in interface inside

注：这里一定要小心，因为将acl应用到inside接口，将直接导致内网访问外网的NAT数据流可能会被阻断。可将需要进行NAT转换的内网网段，放入acl 101，允许通过。

添加路由(Add Route)

route inside 172.16.0.0 255.255.255.0 172.25.66.254

至此，ASA上的SSLVPN（anyconnect VPN）配置完毕。

默认ASA没有Anyconnect Mobility的license，因此用移动端是无法连接SSLVPN的。

L2L VPN配置

配置端口（Configure Interfaces）

interface GigabitEthernet0/0

ip address 10.10.4.200 255.255.255.0

nameif outside

no shutdown

interface GigabitEthernet0/1

ip address 192.168.0.20 255.255.255.0

nameif inside

no shutdown

配置ISAKMP策略（Configure ISAKMP policy）

crypto isakmp policy 10

authentication pre-share

encryption aes

hash sha

配置变换集(Configure transform-set)

crypto ipsec transform-set myset esp-aes esp-sha-hmac

配置访问控制列表（Configure ACL）

ccess-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0

配置Tunnel组（Configure Tunnel group）

tunnel-group 10.20.20.1 type ipsec-l2l

tunnel-group 10.20.20.1 ipsec-attributes

pre-shared-key P@rtn3rNetw0rk

配置加密并应用到端口（Configure crypto map and attach to interface）

crypto map mymap 10 match address L2LAccessList

crypto map mymap 10 set peer 10.10.4.108

crypto map mymap 10 set transform-set myset

crypto map mymap 10 set reverse-route

crypto map mymap interface outside

在端口上启用ISAKMPEnable isakmp on interface

crypto isakmp enable outside

至此，Lan到Lan的VPN配置完毕

ASA8.6-VPN配置手册