1、ASA+webvpn+配置(ASA) Cisco Web VPN 配置详解注意:本文仅对WebVPN特性和配置作介绍,不包含SSL VPN配置,SSL VPN配置在这里详细有介绍 首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)下面列出在ASDM中看到的默认值:默认IPSec-l2l隧道组: DefaultL2LGroup默认IPSec-ra隧道组: DefaultRAGroup默认WebVPN隧道组: DefaultWEBVPNGroup默认组策略: Df
2、ltGrpPolicy默认组策略的默认隧道协议: IPSec-l2l可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载WebVPN时默认采用DefaultWEBVPNGroup,用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。1、WebVPN服务基本配置。ciscoasa(config)# int e0/0ciscoasa(config-if)# ip address 198.1.1.1 255.
3、255.255.0ciscoasa(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# int e0/1ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0ciscoasa(config-if)# nameif insideINFO: Security level for inside set to
4、 100 by default.ciscoasa(config-if)# no shciscoasa(config-if)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# enable outside!在外网接口上启动WebVPN!ciscoasa(config)# group-policy mywebvpn-group-policy ?configure mode commands/options: external Enter this keyword to specify an external group policy in
5、ternal Enter this keyword to specify an internal group policy!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。!ciscoasa(config)# group-policy mywebvpn-group-policy internal!创建了一个名为mywebvpn-group-policy的Internal类型Policy。!ciscoasa(config)# group-policy mywebvpn-group-policy ? configure mode commands/optio
6、ns: attributes Enter the attributes sub-command mode external Enter this keyword to specify an external group policy internal Enter this keyword to specify an internal group policy!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。!ciscoasa(config)# username steve6307 password cisco!创建一个本地用户c
7、iscoasa(config)# username steve6307 attributesciscoasa(config-username)# vpn-group-policy mywebvpn-group-policy!将用户加入刚才创建的VPN策略组中注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的VPN策略组,直接赋予策略(俗曰“权限”)。注意:不过这是不推荐的,因为这样配置的可扩展性太差。!ciscoasa(config)# tunnel-group mywebvpn-group type webvpn!创建一个名为mywebvpn-group的webvpn隧道组。!
8、ciscoasa(config)# tunnel-group mywebvpn-group general-attributesciscoasa(config-tunnel-general)# authentication-server-group LOCAL!定义该隧道组用户使用的认证服务器,这里为本地认证ciscoasa(config)# webvpnciscoasa(config-webvpn)# tunnel-group-list enable!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆!ciscoasa(config)# tunnel-group mywebvpn-gr
9、oup webvpn-attributesciscoasa(config-tunnel-webvpn)# group-alias group1 enable!为改组定义别名,用于显示给用户进行选择。!到此为止,WebVPN基本配置完毕,可以开始让外网用户使用浏览器测试了。2、WebVPN测试。本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。在浏览器中输入https:/198.1.1.1即可访问到WebVPN主页。由于只定义了一个WebVPN隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这
10、里是使用和的联盟首页做的一台内网测试用的Web服务器。1、ASA基本配置。ciscoasa(config)# int e0/0 ciscoasa(config-if)# ip add 198.1.1.1 255.255.255.0ciscoasa(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# int e0/1ciscoasa(config-i
11、f)# ip add 10.10.1.1 255.255.255.0ciscoasa(config-if)# nameif insideINFO: Security level for inside set to 100 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# enable outsideciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2
12、.169.pkgciscoasa(config-webvpn)# svc enable!在外网接口上启动WebVPN,并且启动SVC(SSL VPN Client)功能2、SSL VPN准备工作。ciscoasa(config)# ip local pool ssl-user 192.168.10.1-192.168.10.99!创建SSL VPN用户地址池!ciscoasa(config)# access-list go-vpn permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0ciscoasa(config)# nat
13、(inside) 0 access-list go-vpn!设置SSL VPN数据不作nat翻译3、WebVPN隧道组与策略组ciscoasa(config)# group-policy mysslvpn-group-policy internal!创建名为mysslvpn-group-policy的组策略!ciscoasa(config)# group-policy mysslvpn-group-policy attributesciscoasa(config-group-policy)# vpn-tunnel-protocol webvpnciscoasa(config-group-pol
14、icy)# webvpnciscoasa(config-group-webvpn)# svc enableciscoasa(config-group-webvpn)# exitciscoasa(config-group-policy)# exitciscoasa(config)#!在组策略中启SVC!ciscoasa(config-webvpn)# username steve6307 password cisco!创建用户!ciscoasa(config)# username steve6307 attributesciscoasa(config-username)# vpn-group-p
15、olicy mysslvpn-group-policyciscoasa(config-username)# exit!赋予用户策略!ciscoasa(config)# tunnel-group mysslvpn-group type webvpnciscoasa(config)# tunnel-group mysslvpn-group general-attributesciscoasa(config-tunnel-general)# address-pool ssl-userciscoasa(config-tunnel-general)# exit!设置SSL VPN用户的地址池!cisco
16、asa(config)# tunnel-group mysslvpn-group webvpn-attributesciscoasa(config-tunnel-webvpn)# group-alias group2 enableciscoasa(config-tunnel-webvpn)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# tunnel-group-list enable4、配置SSL VPN隧道分离(可选)。ciscoasa(config)# access-list split-ssl extended permit
17、 ip 10.10.1.0 255.255.255.0 any!注意源地址为ASA的inside网络地址,目标地址始终为any!ciscoasa(config)# group-policy mysslvpn-group-policy attributesciscoasa(config-group-policy)# split-tunnel-policy tunnelspecifiedciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl测试在浏览器中输入https:/198.1.1.1访问WebVPN。s
18、1.gif (31.74 KB)06-11-23 20:29登陆后,WebVPN直接启动SSL Client安装程序。s2.gif (43.6 KB)06-11-23 20:29s3.gif (4.03 KB)06-11-23 20:29s4.gif (3.69 KB)06-11-23 20:29SSL VPN建立成功!s5.gif (6.71 KB)06-11-23 20:29看看SVC的状态信息。s7.gif (13.57 KB)06-11-23 20:29看看SVC的版权信息(Cisco的一堆废话,呵呵)。s8.gif (17.59 KB)06-11-23 20:29SSL连接建立成功以
19、后,ASA上将自动创建指向客户的路由。ciscoasa(config)# sh routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E
20、- EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static routeGateway of last resort is not setS 192.168.10.1 255.255.255.255 1/0 via 198.1.1.2, outsideC 10.10.1.0 255.255.255.0 is directly
21、 connected, insideC 198.1.1.0 255.255.255.0 is directly connected, outside注:此例中外网用户的地址为198.1.1.2,ASA将该静态路由直接指向外网用户的公网地址。忘了给show run,呵呵,再续一下!ciscoasa# show run: Saved:ASA Version 7.2(1)24!hostnameciscoasaenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/0nameif outsidesecurity-level
22、 0ip address 198.1.1.1 255.255.255.0!interface Ethernet0/1nameif insidesecurity-level 100ip address 10.10.1.1 255.255.255.0!interface Ethernet0/2shutdownnonameifno security-levelnoip address!interface Management0/0shutdown nonameifno security-levelnoip addressmanagement-only!passwd 2KFQnbNIdI.2KYOU
23、encryptedftp mode passiveaccess-list go-vpn extended permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 anypager lines 24mtu outside 1500mtu inside 1500ip local pool ssl-user 192.168.10.1-192.168.10.99noasdm history enablearp
24、timeout 14400nat (inside) 0 access-list go-vpntimeoutxlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeoutsunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeoutuauth
25、0:05:00 absolutegroup-policymysslvpn-group-policy internalgroup-policymysslvpn-group-policy attributesvpn-tunnel-protocolwebvpnsplit-tunnel-policytunnelspecifiedsplit-tunnel-network-list value split-sslwebvpn svc enableusername steve6307 password Dt4qNrv3ojM/D.Cn encryptedusername steve6307 attribut
26、esvpn-group-policymysslvpn-group-policynosnmp-server locationnosnmp-server contactsnmp-server enable traps snmp authentication linkup linkdowncoldstarttunnel-groupmysslvpn-group type webvpntunnel-groupmysslvpn-group general-attributesaddress-poolssl-usertunnel-groupmysslvpn-group webvpn-attributesgr
27、oup-alias group2 enabletelnet timeout 5ssh timeout 5console timeout 0!webvpnenable outsidesvc image disk0:/sslclient-win-1.1.2.169.pkg 1svc enable tunnel-group-list enableprompt hostname contextCryptochecksum:00000000000000000000000000000000: endCSD全称Cisco Secure Desktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司
28、买来的,本文将对其特性及配置作详细介绍。CSD 可以让VPN用户在一个全新的虚拟桌面中完成WebVPN连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲 充 赖取槟庾烂婧驼媸底烂娴奈募 俏薹蚕淼模 庇没叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全,VPN用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。关于CSD的一些介绍就写到这里,有疑问的去 学习更多相关知识。在阅读本文之前,请仔细阅读本版中的“Cisco Web VPN 配置详解 ”和“Cisco SSL VPN 配
29、置详解”,前两篇文章中出现的内容本文不再敷述。1、按照前面的文章配置好WebVPN或SSL VPN,本例使用SSL VPN配置,本例中所涉及的配置都是在SSL VPN配置并测试好的情况下完成的。SSL VPN配置输出省略。2、在ASA上启动安全桌面。ciscoasa(config)# webvpnciscoasa(config-webvpn)# csd image disk0:/securedesktop-asa-3.1.1.45-k9.pkgciscoasa(config-webvpn)# csd enable3、为配置CSD策略作准备。由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。ciscoasa(config)# asdm image disk0:/asdm521-54.binciscoasa(config)# http 10.10.1.0 255.255.255.0 inside!设置允许对ASA进行WEB管理的主机!ciscoasa(config)# http server enable 444!为什么要444端口呢?443已经被WebVPN占用啦!4、配置CSD策略。在内网主机的浏览器中输入https:/10.10.1.1:444访问ASDM配置页面。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1