Cisco ASA 5505配置AnyConnect Client VPN

这
肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章，但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。ASA本身带有设置向导，
但是这个向导并没有覆盖用户所需的各方面工作内容，并且有些步骤讲解的也很模糊，会让用户难以适从。实际上我们的工作可以分为四个步骤：设置SSL验证，配置VPN，
然后设置正确的NAT规则，最后如果需要可以开启split-tunneling 。SSL验证可以让用户通过加密隧道从互联网访问企业内网的资源。在下面的讲解中，使用的是自签名的验证方式用于测试，如果是实际应用，则应该通过第三方认证机构获取SSL认证证书。VPN的设置相对简单。然后我们
还会详细介绍一下向导所讲的内容和配置步骤。最后一步的设置可以让用户同时访问内网和外网信息。下面是针对实验环境所作的配置步骤，测试的实验环境可以连接内网和外网，设置有DMZ，并安装了思科ASDM和CLI。设置 SSL证书点击顶部的Configuration按钮并选择Remote Access VPN点击 Certificate
Management 然后点击 Identity Certificates点击Add 然后选择 Add a new identity certificate.点击 New 然后输入
新的VPN名字(比如VPN)点击 Generate Now.你需要输入FQDN(全称域名)，比如CN=vpn.domain.com 然后点击 OK.勾选Generate Self Signed Certificate然后点击 Add Certificate.点击 OK.设置AnyConnect Remote Access VPN:点击Wizards 然后进入VPN 向导界面勾选AnyConnect SSL VPN Client (AnyConnect VPN Client)选择一个连接名称(如VPN)确保选择的是 Outside接口在证书下拉菜单中选择我们刚建立的那个证书。注意一下从客户端访问VPN的地址(比如ip.add.re.ss:444)点击 Next可以使用本地数据库用户(自己建立几
个用户)或者使用LDAP里的信息(比如你的活动目录用户)点击 Next建立一个新的策略并为其命名(比如AnyConnect)，然后点击Next点击New 为用户建立一个地址池。注意不要使用与内网相同的子网。比如内网使用的是192.168.100.0/24 ，
那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20个 IP地址，可以设置起始IP地址为192.168.104.20，结束IP地址为192.168.104.40.从下拉菜单中选择刚才建立的地址池。如果内网没有使用Ipv6，就不用考虑Ipv6地址池的问题。至于AnyConnect的图像，你可以浏览一下本地或者用SMARTnet账户登录Cisco网站下载然后上传到此处。点击 Finish。也可以先点击 Apply保存设置。建立 NAT 豁免规则(为了快捷使用CLI)连接到防火墙的 CLI在配置模式下输入以下命令：access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0tunnel-group VPN general-attributesaddress-pool AnyConnect (这是我们之前建立的地址池名称)现在你就可以通过VPN连接到内网环境了。但是用户可能在连接互联网时遇到限制。
所以接下来我们要配置split-tunneling让这些VPN 用户能够访问到互联网。如果需要极度安全，那么就不要配置split-tunnel。这是一个实用性与安全性取舍的问题，大家可以权衡一下再做决定。因为 VPN用户肯定不希望仅仅为了在google上查下资源或者看看自己的私人邮箱就必须得退出VPN。配置 split-tunnel:回到 ASDM 界面点击Configure,然后是Remote Access VPN,然后选Network Access. 选择Group Policies.点击我们在向导中建立的组策略，然后选择Edit.扩展 Advanced 然后点击Split
Tunneling取消 Inherit Policy 并从下拉菜单中选择 Tunnel Network List Below取消 Network List然后点击 Manage点击Add 然后Add ACL为 ACL起个名字，然后再次点击Add并选Add ACE在 Add ACE 窗口里点击Permit 然后选择内网地址(192.168.100.0)点击 OK然后确保新的ACL存在于 Network List中。再次点击 OK。点击 Apply然后点击Save.这样你的VPN就可以正常运转，并且VPN客户可以直接在VPN连接中访问互联网了。