大家好,我是羊想云彩
最近网上有好多人问我,如何实现类似翻墙软件的效果似的vpn。也就是,当你连上vpn后,从vpn 所在的网络上internet,而不是通过你的网络。即你连上vpn的网络上网。比如:A公司在香港,A公司防火墙asa上做了remote vpn ,员工可以通过cisco vpn client拨入到A公司的防火墙上,进行工作。但员工同时也想上youtube看视频(大陆不让访问youtube),怎么在asa上实现呢?也就是让vpn有一个跳板似的作用! 思想:通过A公司的网络就可以(A公司在香港) 如何在ASA 上配置remote vpn就不在这里介绍,(不懂的可以百度) 在这里我需要说的是三个小知识点 1、隧道分离 Cisco支持三种模式:excludesspecified (选择性不在分离隧道), tunnelall (全部在分离隧道),tunnelspecified (选择性在分离隧道),并且这三种模式不可以同时使用在一个组策略上。
下面说说三种模式的主要区别: excludespecified主要用于仅允许访问客户端本地网络(Allow Local Network Access),去公司内网以及Internet都要走分离的隧道。 tunnelall所有的流量(包括去公司内网,Internet)都在分离隧道上,不可以访问客户端本地网络。默认设置为此 tunnelspeficied允许访问客户端本地网络以及Internet,只有去公司内网的流量走分离隧道。 总之一句话:隧道分离决定了你的哪些数据需要加密走vpn 2、NAT Nat 是干什么,在这里也不说了,我想说的是: nat-control 这个命令,当你打上它的时候,这个asa所有的流量都得通过nat ,当你的流量没有在nat中定义,就会drop掉!当你没有打这命令的时候,就是你有匹配的nat 流量就走nat,没有匹配的就会正常的转发! Nat 0 为不进行nat 转化,而非0的组号都是进行nat 转化。 还有no nat-control和nat 0(identity NAT)这两条命令是有区别的。identity NAT需要流量始发于高安全级别的接口。而命令no nat-control则没有这方面的要求,而且也不需要使用static命令放行来自低安全级别接口(从外部接口到内部接口)的流量;它只需要配置一条访问策略--例如,放行能够与ACL匹配且存在相应路由条目的流量。 3、 same-security-traffic ASA共支持两种same-security-traffic,它们应用场景是 1:相同的security-level 不同的接口之间流量的转发 2:相同的接口之间的流量的转发:cisco称为IPSEC hairpinnig,主要定义为在IPSEC VPN中。 说完了这三个小知识点的话,就可以说一下实现的思路了 思路:1、所有的数据都加密,下一跳为vpn server端(也就是A公司的ASA上) 具体实现命令:如果做了隧道分离的话,把隧道分离去掉,没做的话,正好! 2、允许同一个接口的流量进来与出去 具体实现命令:same-security-traffic permit intra-interface 3、做nat 具体实现命令: nat (outside) 1 地址段 (这个是从外网口进来的流量,也就是clinet的流量)
global (outside) 1 interface (做pat) 就可以了,剩下的,该怎么做还怎么做就OK了,还有疑问或不明白的可以联系我 羊想云彩 QQ: 1581003044 手机:18101294911 | 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2012-12-5 19:06:59
置顶卡
喧嚣卡
变色卡
千斤顶
