ASA+webvpn+配置.docx

ASA+webvpn+配置.docx

《ASA+webvpn+配置.docx》由会员分享，可在线阅读，更多相关《ASA+webvpn+配置.docx（11页珍藏版）》请在冰豆网上搜索。

ASA+webvpn+配置

（ASA）CiscoWebVPN配置详解

注意：

本文仅对WebVPN特性和配置作介绍，不包含SSLVPN配置，SSLVPN配置在这里详细有介绍

首先，先来谈一谈ASA7.X系统中的默认隧道组和组策略。

ASA/PIX7.x系统默认在showrun时不显示默认组策略和默认隧道组，只有使用ASDM才能看到。

（感慨就两个字:

BT）

下面列出在ASDM中看到的默认值：

默认IPSec-l2l隧道组:

DefaultL2LGroup

默认IPSec-ra隧道组:

DefaultRAGroup

默认WebVPN隧道组:

DefaultWEBVPNGroup

默认组策略:

DfltGrpPolicy

默认组策略的默认隧道协议:

IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑，ASA在加载WebVPN时默认采用DefaultWEBVPNGroup，用户自定义的WebVPN组必须在启动“tunnel-group-list”和“group-alias”后才会出现。

在下面的例子中，我没有使用ASA的默认隧道组，所以会有tunel-group-list和group-alias配置出现。

1、WebVPN服务基本配置。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

ciscoasa（config）#inte0/0

ciscoasa（config-if）#ipaddress198.1.1.1255.255.255.0

ciscoasa（config-if）#nameifoutside

INFO:

Securitylevelfor"outside"setto0bydefault.

ciscoasa（config-if）#noshut

ciscoasa（config-if）#exit

!

ciscoasa（config）#inte0/1

ciscoasa（config-if）#ipadd10.10.1.1255.255.255.0

ciscoasa（config-if）#nameifinside

INFO:

Securitylevelfor"inside"setto100bydefault.

ciscoasa（config-if）#nosh

ciscoasa（config-if）#exit

!

ciscoasa（config）#webvpn

ciscoasa（config-webvpn）#enableoutside

!

在外网接口上启动WebVPN

!

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

ciscoasa（config）#group-policymywebvpn-group-policy?

configuremodecommands/options:

  external  Enterthiskeywordtospecifyanexternalgrouppolicy

  internal  Enterthiskeywordtospecifyaninternalgrouppolicy

!

此处需要选择组策略的类型，因为我们是将策略配置在ASA本地的，所以选择Internal。

!

ciscoasa（config）#group-policymywebvpn-group-policyinternal

!

创建了一个名为mywebvpn-group-policy的Internal类型Policy。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

!

ciscoasa（config）#group-policymywebvpn-group-policy?

configuremodecommands/options:

  attributes  Entertheattributessub-commandmode

  external    Enterthiskeywordtospecifyanexternalgrouppolicy

  internal    Enterthiskeywordtospecifyaninternalgrouppolicy

!

组策略一旦创建，命令行参数中就会多出attributes选项，这是用于后面定义具体的组策略用的，目前可以保留为空。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

!

ciscoasa（config）#usernamesteve6307passwordcisco

!

创建一个本地用户

ciscoasa（config）#usernamesteve6307attributes

ciscoasa（config-username）#vpn-group-policymywebvpn-group-policy

!

将用户加入刚才创建的VPN策略组中

注意：

ASA也支持为每用户定义单独的策略，即不用将用户加入特定的VPN策略组，直接赋予策略（俗曰“权限”）。

注意：

不过这是不推荐的，因为这样配置的可扩展性太差。

－

!

ciscoasa（config）#tunnel-groupmywebvpn-grouptypewebvpn

!

创建一个名为mywebvpn-group的webvpn隧道组。

!

ciscoasa（config）#tunnel-groupmywebvpn-groupgeneral-attributes

ciscoasa（config-tunnel-general）#authentication-server-groupLOCAL

!

定义该隧道组用户使用的认证服务器，这里为本地认证

－

ciscoasa（config）#webvpn

ciscoasa（config-webvpn）#tunnel-group-listenable

!

启动组列表，让用户在登陆的时候可以选择使用哪个组进行登陆

!

ciscoasa（config）#tunnel-groupmywebvpn-groupwebvpn-attributes

ciscoasa（config-tunnel-webvpn）#group-aliasgroup1enable

!

为改组定义别名，用于显示给用户进行选择。

－

!

!

到此为止，WebVPN基本配置完毕，可以开始让外网用户使用浏览器测试了。

2、WebVPN测试。

本例中使用FireFox浏览器进行测试（测试功能嘛，最好不要用IE）。

在浏览器中输入https:

//198.1.1.1即可访问到WebVPN主页。

由于只定义了一个WebVPN隧道组，因此，在group列表的下拉菜单中只有一个选择：

group1。

在弹出的小web框中输入内网服务器IP，即可访问到内网服务器，这里是使用和的联盟首页做的一台内网测试用的Web服务器。

1、ASA基本配置。

ciscoasa（config）#inte0/0  

ciscoasa（config-if）#ipadd198.1.1.1255.255.255.0

ciscoasa（config-if）#nameifoutside

INFO:

Securitylevelfor"outside"setto0bydefault.

ciscoasa（config-if）#noshut

ciscoasa（config-if）#exit

!

ciscoasa（config）#inte0/1

ciscoasa（config-if）#ipadd10.10.1.1255.255.255.0

ciscoasa（config-if）#nameifinside

INFO:

Securitylevelfor"inside"setto100bydefault.

ciscoasa（config-if）#noshut

ciscoasa（config-if）#exit

!

ciscoasa（config）#webvpn

ciscoasa（config-webvpn）#enableoutside

ciscoasa（config-webvpn）#svcimagedisk0:

/sslclient-win-1.1.2.169.pkg

ciscoasa（config-webvpn）#svcenable

!

在外网接口上启动WebVPN，并且启动SVC（SSLVPNClient）功能

2、SSLVPN准备工作。

ciscoasa（config）#iplocalpoolssl-user192.168.10.1-192.168.10.99

!

创建SSLVPN用户地址池

!

ciscoasa（config）#access-listgo-vpnpermitip10.10.1.0255.255.255.0192.168.10.0255.255.255.0

ciscoasa（config）#nat（inside）0access-listgo-vpn

!

设置SSLVPN数据不作nat翻译

3、WebVPN隧道组与策略组

ciscoasa（config）#group-policymysslvpn-group-policyinternal

!

创建名为mysslvpn-group-policy的组策略

!

ciscoasa（config）#group-policymysslvpn-group-policyattributes

ciscoasa（config-group-policy）#vpn-tunnel-protocolwebvpn

ciscoasa（config-group-policy）#webvpn

ciscoasa（config-group-webvpn）#svcenable

ciscoasa（config-group-webvpn）#exit

ciscoasa（config-group-policy）#exit

ciscoasa（config）#

!

在组策略中启SVC

!

ciscoasa（config-webvpn）#usernamesteve6307passwordcisco

!

创建用户

!

ciscoasa（config）#usernamesteve6307attributes

ciscoasa（config-username）#vpn-group-policymysslvpn-group-policy

ciscoasa（config-username）#exit

!

赋予用户策略

!

ciscoasa（config）#tunnel-groupmysslvpn-grouptypewebvpn

ciscoasa（config）#tunnel-groupmysslvpn-groupgeneral-attributes

ciscoasa（config-tunnel-general）#address-poolssl-user

ciscoasa（config-tunnel-general）#exit

!

设置SSLVPN用户的地址池

!

ciscoasa（config）#tunnel-groupmysslvpn-groupwebvpn-attributes

ciscoasa（config-tunnel-webvpn）#group-aliasgroup2enable  

ciscoasa（config-tunnel-webvpn）#exit

!

ciscoasa（config）#webvpn

ciscoasa（config-webvpn）#tunnel-group-listenable

－

4、配置SSLVPN隧道分离（可选）。

ciscoasa（config）#access-listsplit-sslextendedpermitip10.10.1.0255.255.255.0any

!

注意源地址为ASA的inside网络地址，目标地址始终为any

!

ciscoasa（config）#group-policymysslvpn-group-policyattributes

ciscoasa（config-group-policy）#split-tunnel-policytunnelspecified

ciscoasa（config-group-policy）#split-tunnel-network-listvaluesplit-ssl

测试

在浏览器中输入https:

//198.1.1.1访问WebVPN。

s1.gif（31.74KB）

06-11-2320:

29

登陆后，WebVPN直接启动SSLClient安装程序。

s2.gif（43.6KB）

06-11-2320:

29

s3.gif（4.03KB）

06-11-2320:

29

s4.gif（3.69KB）

06-11-2320:

29

SSLVPN建立成功！

s5.gif（6.71KB）

06-11-2320:

29

看看SVC的状态信息。

s7.gif（13.57KB）

06-11-2320:

29

看看SVC的版权信息（Cisco的一堆废话，呵呵）。

s8.gif（17.59KB）

06-11-2320:

29

SSL连接建立成功以后，ASA上将自动创建指向客户的路由。

ciscoasa（config）#shroute

Codes:

C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP

      D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

      N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

      E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

      i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

      *-candidatedefault,U-per-userstaticroute,o-ODR

      P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

S    192.168.10.1255.255.255.255[1/0]via198.1.1.2,outside

C    10.10.1.0255.255.255.0isdirectlyconnected,inside

C    198.1.1.0255.255.255.0isdirectlyconnected,outside

注：

此例中外网用户的地址为198.1.1.2，ASA将该静态路由直接指向外网用户的公网地址。

忘了给showrun，呵呵，再续一下！

ciscoasa#showrun

:

Saved

:

ASAVersion7.2

（1）24

!

hostnameciscoasa

enablepassword8Ry2YjIyt7RRXU24encrypted

names

!

interfaceEthernet0/0

nameifoutside

security-level0

ipaddress198.1.1.1255.255.255.0

!

interfaceEthernet0/1

nameifinside

security-level100

ipaddress10.10.1.1255.255.255.0

!

interfaceEthernet0/2

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceManagement0/0

shutdown    

nonameif

nosecurity-level

noipaddress

management-only

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

access-listgo-vpnextendedpermitip10.10.1.0255.255.255.0192.168.10.0255.255.255.0

access-listsplit-sslextendedpermitip10.10.1.0255.255.255.0any

pagerlines24

mtuoutside1500

mtuinside1500

iplocalpoolssl-user192.168.10.1-192.168.10.99

noasdmhistoryenable

arptimeout14400

nat（inside）0access-listgo-vpn

timeoutxlate3:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00icmp0:

00:

02

timeoutsunrpc0:

10:

00h3230:

05:

00h2251:

00:

00mgcp0:

05:

00mgcp-pat0:

05:

00

timeoutsip0:

30:

00sip_media0:

02:

00sip-invite0:

03:

00sip-disconnect0:

02:

00

timeoutuauth0:

05:

00absolute

group-policymysslvpn-group-policyinternal

group-policymysslvpn-group-policyattributes

vpn-tunnel-protocolwebvpn

split-tunnel-policytunnelspecified

split-tunnel-network-listvaluesplit-ssl

webvpn

  svcenable

usernamesteve6307passwordDt4qNrv3ojM/D.Cnencrypted

usernamesteve6307attributes

vpn-group-policymysslvpn-group-policy

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

tunnel-groupmysslvpn-grouptypewebvpn

tunnel-groupmysslvpn-groupgeneral-attributes

address-poolssl-user

tunnel-groupmysslvpn-groupwebvpn-attributes

group-aliasgroup2enable

telnettimeout5

sshtimeout5

consoletimeout0

!

!

webvpn

enableoutside

svcimagedisk0:

/sslclient-win-1.1.2.169.pkg1

svcenable  

tunnel-group-listenable

prompthostnamecontext

Cryptochecksum:

00000000000000000000000000000000

:

end

CSD全称CiscoSecureDesktop，即思科安全桌面技术，据说是思科花了500w美金从一家公司买来的，本文将对其特性及配置作详细介绍。

CSD可以让VPN用户在一个全新的虚拟桌面中完成WebVPN连接。

在虚拟桌面中所做的一切操作均与真实桌面环境隔离，包括文件娲ⅰ⑼充赖取Ｐ槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后，虚拟桌面里的一切东西都将被自动删除，包括存储在虚拟硬盘上的文件、浏览器的cookies等。

虚拟桌面可以有效地保护企业的信息财产安全，VPN用户的一切操作都被限制在内网，所有的文件只能存储在公司内部。

关于CSD的一些介绍就写到这里，有疑问的去学习更多相关知识。

在阅读本文之前，请仔细阅读本版中的“CiscoWebVPN配置详解”和“CiscoSSLVPN配置详解”，前两篇文章中出现的内容本文不再敷述。

1、按照前面的文章配置好WebVPN或SSLVPN，本例使用SSLVPN配置，本例中所涉及的配置都是在SSLVPN配置并测试好的情况下完成的。

SSLVPN配置输出省略。

2、在ASA上启动安全桌面。

ciscoasa（config）#webvpn

ciscoasa（config-webvpn）#csdimagedisk0:

/securedesktop-asa-3.1.1.45-k9.pkg

ciscoasa（config-webvpn）#csdenable

3、为配置CSD策略作准备。

由于CSD是收购过来的，因此命令行是配不了的，所有的CSD的策略都必须在ASDM（即WEB管理页面）里面完成。

ciscoasa（config）#asdmimagedisk0:

/asdm521-54.bin

ciscoasa（config）#http10.10.1.0255.255.255.0inside

!

设置允许对ASA进行WEB管理的主机

!

ciscoasa（config）#httpserverenable444

!

为什么要444端口呢？

443已经被WebVPN占用啦！

4、配置CSD策略。

在内网主机的浏览器中输入https:

//10.10.1.1:

444访问ASDM配置页面。