SSLVPNRADIUS分组认证.docx
《SSLVPNRADIUS分组认证.docx》由会员分享,可在线阅读,更多相关《SSLVPNRADIUS分组认证.docx(32页珍藏版)》请在冰豆网上搜索。
SSLVPNRADIUS分组认证
ASASSLVPN使用radius服务器验证实验
拓扑:
需求:
1、使用Windows2008NPS做为Radius服务器实现ASA的VPN用户拨入;
2、针对不同的用户,不允许手动指定策略组,而是自动分配相应的策略组;
实现功能:
1、在AD上,基于组对用户进行分类,分别为sslvpn-1和sslvpn-2;
2、sslvpn-1和sslvpn-2的用户均可以拨入vpn;
3、两个组分别获取不同的group-police策略;
基本配置:
路由器及PC
配置基本的IP地址,网关,默认路由,以及NAT。
具体的IP信息见拓扑。
ASA:
1、接口及nat、路由:
interfaceGigabitEthernet0/0
nameifoutside
security-level0
ipaddress100.100.2.1255.255.255.0
!
interfaceGigabitEthernet0/1
nameifinside
security-level100
ipaddress192.168.2.254255.255.255.0
objectnetworklocal
subnet192.168.2.0255.255.255.0
nat(inside,outside)dynamicinterface
routeoutside0.0.0.00.0.0.0100.100.2.254
2、地址池
iplocalpoolvpnpool10.0.0.1-10.0.0.10mask255.255.255.0
iplocalpoolvpnpool-220.0.0.1-20.0.0.10mask255.255.255.0
iplocalpooldefault-pool50.0.0.1-50.0.0.10mask255.255.255.0
3、验证服务器配置
aaa-server2008radiusprotocolradius
aaa-server2008radius(inside)host192.168.2.11
keycisco123
\\这里的key,要跟radius服务器上设置的密码一致;必须先配置协议类型,才可以指定
服务器IP地址;
4、VPN基本配置
1、一、二阶段基本配置
cryptoipsecikev1transform-setvpnsetesp-3desesp-md5-hmac
cryptoipsecsecurity-associationpmtu-aginginfinite
cryptodynamic-mapdmap10setikev1transform-setvpnset
cryptomapvpnmap10ipsec-isakmpdynamicdmap
cryptomapvpnmapinterfaceoutside
cryptocatrustpoolpolicy
cryptoikev1enableoutside
cryptoikev1policy10
authenticationpre-share
encryption3des
hashmd5
group2
lifetime86400
2、webvpn配置(ssl)
webvpn
enableoutside
anyconnect-essentials
anyconnectimagedisk0:
/anyconnect-win-3.0.11042-k9.pkg1
anyconnectenable
\\这里不开启
,禁止用户自由选择分组;
3、隧道配置
tunnel-groupDefaultWEBVPNGroupgeneral-attributes
authentication-server-group2008radius
tunnel-groupDefaultWEBVPNGroupwebvpn-attributes
group-aliasdefaultenable
\\默认的隧道配置,默认调用group-policyDfltGrpPolicy,当我们不给用户组绑定策略时,则调用的就是DfltGrpPolicy默认策略组的配置;
tunnel-groupsslvpn-1typeremote-access
tunnel-groupsslvpn-1general-attributes
address-poolvpnpool
authentication-server-group2008radius
default-group-policygp-sslvpn-1
tunnel-groupsslvpn-1webvpn-attributes
group-aliassslvpn-1enable
tunnel-groupsslvpn-1ipsec-attributes
ikev1pre-shared-keycisco
tunnel-groupsslvpn-2typeremote-access
tunnel-groupsslvpn-2general-attributes
address-poolvpnpool-2
authentication-server-group2008radius
default-group-policygp-sslvpn-2
tunnel-groupsslvpn-2webvpn-attributes
group-aliassslvpn-2enable
tunnel-groupsslvpn-2ipsec-attributes
ikev1pre-shared-keycisco
注:
1、每个隧道都配置了验证服务器authentication-server-group2008radius;
2、虽然配置了group-alias,但是在webvpn属性中未开启
,并不生效;
3、每个隧道必须关联一个group-policy;
4、组策略配置
group-policyDfltGrpPolicyattributes
vpn-tunnel-protocolssl-clientssl-clientless
password-storageenable
split-tunnel-policytunnelspecified
split-tunnel-network-listvaluesplit
address-poolsvaluedefault-pool
\\默认的组策略,配置包括:
1、vpn类型;
2、切分通道;
3、地址池;
group-policygp-sslvpn-1internal
group-policygp-sslvpn-1attributes
bannervaluewelcometoGroup-1
vpn-tunnel-protocolssl-clientssl-clientless
password-storageenable
split-tunnel-policytunnelspecified
split-tunnel-network-listvaluesplit-1
address-poolsvaluevpnpool
\\为sslvpn-1组准备的组策略,包括:
1、banner信息;
2、vpn类型;
3、切分通道;
4、地址池;
group-policygp-sslvpn-2internal
group-policygp-sslvpn-2attributes
bannervaluewelcometoGroup-2
vpn-tunnel-protocolssl-clientssl-clientless
password-storageenable
split-tunnel-policytunnelspecified
split-tunnel-network-listvaluesplit-2
address-poolsvaluevpnpool-2
\\为sslvpn-2组准备的组策略,包括:
1、banner信息;
2、vpn类型;
3、切分通道;
4、地址池;
注:
1、当不为用户锁定组策略的时候,默认调用DfltGrpPolicy,这个默认的组策略;
2、锁定组策略后,用户将根据配置获取不同的配置信息;(IP地址、切分通道)
Radius服务器配置
1、安装AD,这里不做详细介绍;
2、安装NPS
如图:
\\在域中注册NPS服务器,这里是已经注册过,所以显示灰色;
3、配置Radius服务器:
1、新建Radius客户端
共享秘钥需要用在ASA指定服务器时候配置key的时候;
2、连接策略
\\这里必须指定一个连接条件;
\\这里我们指定客户端友好名称,在创建Radius客户端时已配置的名称;
//这里一定要选择CHAP和PAP,跟NAS设备和终端用的协议有关;(具体信息不详)
3、网络策略
//这里就是关联用户组的操作了;
进行此步骤之前,现在AD上配置用户和用户组
//配置2个用户和2个组,2个用户分属于不通的组;
//在此吧AD里的用户组添加进来;
//使用同样的方法,添加第二个sslvpn的用户组,配置完成后:
4、测试用户
ASA上执行:
testaaa-serverauthentication2008radiushost192.168.2.11usernamedengmingpasswordCisco123
testaaa-serverauthentication2008radiushost192.168.2.11usernameweixiuwenpasswordCisco123
显示验证成功
5、vpn拨号
//这里用哪一个用户都一样;
//看到获取的IP地址是ASA上默认组策略配置的地址池地址;
//切分通道的地址段,也是默认策略中配置的
此时用户拨入还没有收到分组的信息,所有在Radius上还需要配置策略,使得连个用户能够获取不同的组策略;
6、为用户指定组策略
//回到NPS—策略—网络策略,双击刚才创建的一个策略;
\\添加一个Radius属性;
//输入ASA上配置的相应的group-policy的组名;
\\为另一个添加相应的组策略,完成。
再次拨号:
组1用户dengming:
//出现了组1的banner;
//获取组1的地址池IP,和切分通道ACL;
组2用户weixiuwen:
完毕
升级会员 