ASA+webvpn+配置.docx
《ASA+webvpn+配置.docx》由会员分享,可在线阅读,更多相关《ASA+webvpn+配置.docx(11页珍藏版)》请在冰豆网上搜索。
![ASA+webvpn+配置.docx](https://file1.bdocx.com/fileroot1/2023-1/22/625c2cba-5188-4850-9ec9-6124d0499174/625c2cba-5188-4850-9ec9-6124d04991741.gif)
ASA+webvpn+配置
(ASA)CiscoWebVPN配置详解
注意:
本文仅对WebVPN特性和配置作介绍,不包含SSLVPN配置,SSLVPN配置在这里详细有介绍
首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。
ASA/PIX7.x系统默认在showrun时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。
(感慨就两个字:
BT)
下面列出在ASDM中看到的默认值:
默认IPSec-l2l隧道组:
DefaultL2LGroup
默认IPSec-ra隧道组:
DefaultRAGroup
默认WebVPN隧道组:
DefaultWEBVPNGroup
默认组策略:
DfltGrpPolicy
默认组策略的默认隧道协议:
IPSec-l2l
可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载WebVPN时默认采用DefaultWEBVPNGroup,用户自定义的WebVPN组必须在启动“tunnel-group-list”和“group-alias”后才会出现。
在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。
1、WebVPN服务基本配置。
-----------------------------------------
ciscoasa(config)#inte0/0
ciscoasa(config-if)#ipaddress198.1.1.1255.255.255.0
ciscoasa(config-if)#nameifoutside
INFO:
Securitylevelfor"outside"setto0bydefault.
ciscoasa(config-if)#noshut
ciscoasa(config-if)#exit
!
ciscoasa(config)#inte0/1
ciscoasa(config-if)#ipadd10.10.1.1255.255.255.0
ciscoasa(config-if)#nameifinside
INFO:
Securitylevelfor"inside"setto100bydefault.
ciscoasa(config-if)#nosh
ciscoasa(config-if)#exit
!
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enableoutside
!
在外网接口上启动WebVPN
!
---------------------------------------
ciscoasa(config)#group-policymywebvpn-group-policy?
configuremodecommands/options:
external Enterthiskeywordtospecifyanexternalgrouppolicy
internal Enterthiskeywordtospecifyaninternalgrouppolicy
!
此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。
!
ciscoasa(config)#group-policymywebvpn-group-policyinternal
!
创建了一个名为mywebvpn-group-policy的Internal类型Policy。
---------------------------------------
!
ciscoasa(config)#group-policymywebvpn-group-policy?
configuremodecommands/options:
attributes Entertheattributessub-commandmode
external Enterthiskeywordtospecifyanexternalgrouppolicy
internal Enterthiskeywordtospecifyaninternalgrouppolicy
!
组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。
---------------------------------------
!
ciscoasa(config)#usernamesteve6307passwordcisco
!
创建一个本地用户
ciscoasa(config)#usernamesteve6307attributes
ciscoasa(config-username)#vpn-group-policymywebvpn-group-policy
!
将用户加入刚才创建的VPN策略组中
注意:
ASA也支持为每用户定义单独的策略,即不用将用户加入特定的VPN策略组,直接赋予策略(俗曰“权限”)。
注意:
不过这是不推荐的,因为这样配置的可扩展性太差。
-
!
ciscoasa(config)#tunnel-groupmywebvpn-grouptypewebvpn
!
创建一个名为mywebvpn-group的webvpn隧道组。
!
ciscoasa(config)#tunnel-groupmywebvpn-groupgeneral-attributes
ciscoasa(config-tunnel-general)#authentication-server-groupLOCAL
!
定义该隧道组用户使用的认证服务器,这里为本地认证
-
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-listenable
!
启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆
!
ciscoasa(config)#tunnel-groupmywebvpn-groupwebvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-aliasgroup1enable
!
为改组定义别名,用于显示给用户进行选择。
-
!
!
到此为止,WebVPN基本配置完毕,可以开始让外网用户使用浏览器测试了。
2、WebVPN测试。
本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。
在浏览器中输入https:
//198.1.1.1即可访问到WebVPN主页。
由于只定义了一个WebVPN隧道组,因此,在group列表的下拉菜单中只有一个选择:
group1。
在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这里是使用和的联盟首页做的一台内网测试用的Web服务器。
1、ASA基本配置。
ciscoasa(config)#inte0/0
ciscoasa(config-if)#ipadd198.1.1.1255.255.255.0
ciscoasa(config-if)#nameifoutside
INFO:
Securitylevelfor"outside"setto0bydefault.
ciscoasa(config-if)#noshut
ciscoasa(config-if)#exit
!
ciscoasa(config)#inte0/1
ciscoasa(config-if)#ipadd10.10.1.1255.255.255.0
ciscoasa(config-if)#nameifinside
INFO:
Securitylevelfor"inside"setto100bydefault.
ciscoasa(config-if)#noshut
ciscoasa(config-if)#exit
!
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enableoutside
ciscoasa(config-webvpn)#svcimagedisk0:
/sslclient-win-1.1.2.169.pkg
ciscoasa(config-webvpn)#svcenable
!
在外网接口上启动WebVPN,并且启动SVC(SSLVPNClient)功能
2、SSLVPN准备工作。
ciscoasa(config)#iplocalpoolssl-user192.168.10.1-192.168.10.99
!
创建SSLVPN用户地址池
!
ciscoasa(config)#access-listgo-vpnpermitip10.10.1.0255.255.255.0192.168.10.0255.255.255.0
ciscoasa(config)#nat(inside)0access-listgo-vpn
!
设置SSLVPN数据不作nat翻译
3、WebVPN隧道组与策略组
ciscoasa(config)#group-policymysslvpn-group-policyinternal
!
创建名为mysslvpn-group-policy的组策略
!
ciscoasa(config)#group-policymysslvpn-group-policyattributes
ciscoasa(config-group-policy)#vpn-tunnel-protocolwebvpn
ciscoasa(config-group-policy)#webvpn
ciscoasa(config-group-webvpn)#svcenable
ciscoasa(config-group-webvpn)#exit
ciscoasa(config-group-policy)#exit
ciscoasa(config)#
!
在组策略中启SVC
!
ciscoasa(config-webvpn)#usernamesteve6307passwordcisco
!
创建用户
!
ciscoasa(config)#usernamesteve6307attributes
ciscoasa(config-username)#vpn-group-policymysslvpn-group-policy
ciscoasa(config-username)#exit
!
赋予用户策略
!
ciscoasa(config)#tunnel-groupmysslvpn-grouptypewebvpn
ciscoasa(config)#tunnel-groupmysslvpn-groupgeneral-attributes
ciscoasa(config-tunnel-general)#address-poolssl-user
ciscoasa(config-tunnel-general)#exit
!
设置SSLVPN用户的地址池
!
ciscoasa(config)#tunnel-groupmysslvpn-groupwebvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-aliasgroup2enable
ciscoasa(config-tunnel-webvpn)#exit
!
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-listenable
-
4、配置SSLVPN隧道分离(可选)。
ciscoasa(config)#access-listsplit-sslextendedpermitip10.10.1.0255.255.255.0any
!
注意源地址为ASA的inside网络地址,目标地址始终为any
!
ciscoasa(config)#group-policymysslvpn-group-policyattributes
ciscoasa(config-group-policy)#split-tunnel-policytunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-listvaluesplit-ssl
测试
在浏览器中输入https:
//198.1.1.1访问WebVPN。
s1.gif(31.74KB)
06-11-2320:
29
登陆后,WebVPN直接启动SSLClient安装程序。
s2.gif(43.6KB)
06-11-2320:
29
s3.gif(4.03KB)
06-11-2320:
29
s4.gif(3.69KB)
06-11-2320:
29
SSLVPN建立成功!
s5.gif(6.71KB)
06-11-2320:
29
看看SVC的状态信息。
s7.gif(13.57KB)
06-11-2320:
29
看看SVC的版权信息(Cisco的一堆废话,呵呵)。
s8.gif(17.59KB)
06-11-2320:
29
SSL连接建立成功以后,ASA上将自动创建指向客户的路由。
ciscoasa(config)#shroute
Codes:
C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-userstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
S 192.168.10.1255.255.255.255[1/0]via198.1.1.2,outside
C 10.10.1.0255.255.255.0isdirectlyconnected,inside
C 198.1.1.0255.255.255.0isdirectlyconnected,outside
注:
此例中外网用户的地址为198.1.1.2,ASA将该静态路由直接指向外网用户的公网地址。
忘了给showrun,呵呵,再续一下!
ciscoasa#showrun
:
Saved
:
ASAVersion7.2
(1)24
!
hostnameciscoasa
enablepassword8Ry2YjIyt7RRXU24encrypted
names
!
interfaceEthernet0/0
nameifoutside
security-level0
ipaddress198.1.1.1255.255.255.0
!
interfaceEthernet0/1
nameifinside
security-level100
ipaddress10.10.1.1255.255.255.0
!
interfaceEthernet0/2
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceManagement0/0
shutdown
nonameif
nosecurity-level
noipaddress
management-only
!
passwd2KFQnbNIdI.2KYOUencrypted
ftpmodepassive
access-listgo-vpnextendedpermitip10.10.1.0255.255.255.0192.168.10.0255.255.255.0
access-listsplit-sslextendedpermitip10.10.1.0255.255.255.0any
pagerlines24
mtuoutside1500
mtuinside1500
iplocalpoolssl-user192.168.10.1-192.168.10.99
noasdmhistoryenable
arptimeout14400
nat(inside)0access-listgo-vpn
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsunrpc0:
10:
00h3230:
05:
00h2251:
00:
00mgcp0:
05:
00mgcp-pat0:
05:
00
timeoutsip0:
30:
00sip_media0:
02:
00sip-invite0:
03:
00sip-disconnect0:
02:
00
timeoutuauth0:
05:
00absolute
group-policymysslvpn-group-policyinternal
group-policymysslvpn-group-policyattributes
vpn-tunnel-protocolwebvpn
split-tunnel-policytunnelspecified
split-tunnel-network-listvaluesplit-ssl
webvpn
svcenable
usernamesteve6307passwordDt4qNrv3ojM/D.Cnencrypted
usernamesteve6307attributes
vpn-group-policymysslvpn-group-policy
nosnmp-serverlocation
nosnmp-servercontact
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
tunnel-groupmysslvpn-grouptypewebvpn
tunnel-groupmysslvpn-groupgeneral-attributes
address-poolssl-user
tunnel-groupmysslvpn-groupwebvpn-attributes
group-aliasgroup2enable
telnettimeout5
sshtimeout5
consoletimeout0
!
!
webvpn
enableoutside
svcimagedisk0:
/sslclient-win-1.1.2.169.pkg1
svcenable
tunnel-group-listenable
prompthostnamecontext
Cryptochecksum:
00000000000000000000000000000000
:
end
CSD全称CiscoSecureDesktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司买来的,本文将对其特性及配置作详细介绍。
CSD可以让VPN用户在一个全新的虚拟桌面中完成WebVPN连接。
在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲ⅰ⑼充赖取P槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。
虚拟桌面可以有效地保护企业的信息财产安全,VPN用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。
关于CSD的一些介绍就写到这里,有疑问的去学习更多相关知识。
在阅读本文之前,请仔细阅读本版中的“CiscoWebVPN配置详解”和“CiscoSSLVPN配置详解”,前两篇文章中出现的内容本文不再敷述。
1、按照前面的文章配置好WebVPN或SSLVPN,本例使用SSLVPN配置,本例中所涉及的配置都是在SSLVPN配置并测试好的情况下完成的。
SSLVPN配置输出省略。
2、在ASA上启动安全桌面。
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#csdimagedisk0:
/securedesktop-asa-3.1.1.45-k9.pkg
ciscoasa(config-webvpn)#csdenable
3、为配置CSD策略作准备。
由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。
ciscoasa(config)#asdmimagedisk0:
/asdm521-54.bin
ciscoasa(config)#http10.10.1.0255.255.255.0inside
!
设置允许对ASA进行WEB管理的主机
!
ciscoasa(config)#httpserverenable444
!
为什么要444端口呢?
443已经被WebVPN占用啦!
4、配置CSD策略。
在内网主机的浏览器中输入https:
//10.10.1.1:
444访问ASDM配置页面。