這肯定不是第一篇撰寫有關“用Cisco設備快速搭建VPN簡明指南”的文章，但我們還是希望這篇指南能夠成為廣大使用ASA 5505設備的用戶在設置VPN和連接互聯網方面的一站式指南。

ASA本身帶有設置向導，但是這個向導并沒有覆蓋用戶所需的各方面工作內容，并且有些步驟講解的也很模糊，會讓用戶難以適從。實際上我們的工作可以分為四個步驟：設置SSL驗證，配置VPN，然后設置正確的NAT規則，最后如果需要可以開啟split-tunneling 。SSL驗證可以讓用戶通過加密隧道從互聯網訪問企業內網的資源。在下面的講解中，使用的是自簽名的驗證方式用于測試，如果是實際應用，則應該通過第三方認證機構獲取SSL認證證書。VPN的設置相對簡單。然后我們還會詳細介紹一下向導所講的內容和配置步驟。最后一步的設置可以讓用戶同時訪問內網和外網信息。下面是針對實驗環境所作的配置步驟，測試的實驗環境可以連接內網和外網，設置有DMZ，并安裝了思科ASDM和CLI。

設置 SSL證書

點擊頂部的Configuration按鈕并選擇Remote Access VPN

點擊 Certificate Management 然后點擊 Identity Certificates

點擊Add 然后選擇 Add a new identity certificate.

點擊 New 然后輸入新的VPN名字(比如VPN)

點擊 Generate Now.

你需要輸入FQDN(全稱域名)，比如CN=vpn.domain.com 然后點擊 OK.

勾選Generate Self Signed Certificate然后點擊 Add Certificate.

點擊 OK.

設置AnyConnect Remote Access VPN:

點擊Wizards 然后進入VPN 向導界面

勾選AnyConnect SSL VPN Client (AnyConnect VPN Client)

選擇一個連接名稱(如VPN)

確保選擇的是 Outside接口

在證書下拉菜單中選擇我們剛建立的那個證書。

注意一下從客戶端訪問VPN的地址(比如ip.add.re.ss:444)

點擊 Next

可以使用本地數據庫用戶(自己建立幾個用戶)或者使用LDAP里的信息(比如你的活動目錄用戶)

點擊 Next

建立一個新的策略并為其命名(比如AnyConnect)，然后點擊Next

點擊New 為用戶建立一個地址池。注意不要使用與內網相同的子網。比如內網使用的是192.168.100.0/24 ，那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20個 IP地址，可以設置起始IP地址為192.168.104.20，結束IP地址為192.168.104.40.

從下拉菜單中選擇剛才建立的地址池。如果內網沒有使用Ipv6，就不用考慮Ipv6地址池的問題。

至于AnyConnect的圖像，你可以瀏覽一下本地或者用SMARTnet賬戶登錄Cisco網站下載然后上傳到此處。

點擊 Finish。也可以先點擊 Apply保存設置。

建立 NAT 豁免規則(為了快捷使用CLI)

連接到防火墻的 CLI

在配置模式下輸入以下命令：

access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0

tunnel-group VPN general-attributes

address-pool AnyConnect (這是我們之前建立的地址池名稱)

現在你就可以通過VPN連接到內網環境了。但是用戶可能在連接互聯網時遇到限制。所以接下來我們要配置split-tunneling讓這些VPN 用戶能夠訪問到互聯網。如果需要極度安全，那么就不要配置split-tunnel。這是一個實用性與安全性取舍的問題，大家可以權衡一下再做決定。因為 VPN用戶肯定不希望僅僅為了在google上查下資源或者看看自己的私人郵箱就必須得退出VPN。

配置 split-tunnel:

回到 ASDM 界面點擊Configure,然后是Remote Access VPN,然后選Network Access. 選擇Group Policies.

點擊我們在向導中建立的組策略，然后選擇Edit.

擴展 Advanced 然后點擊Split Tunneling

取消 Inherit Policy 并從下拉菜單中選擇 Tunnel Network List Below

取消 Network List然后點擊 Manage

點擊Add 然后Add ACL

為 ACL起個名字，然后再次點擊Add并選Add ACE

在 Add ACE 窗口里點擊Permit 然后選擇內網地址(192.168.100.0)

點擊 OK然后確保新的ACL存在于 Network List中。

再次點擊 OK。

點擊 Apply然后點擊Save.

這樣你的VPN就可以正常運轉，并且VPN客戶可以直接在VPN連接中訪問互聯網了。