ImageVerifierCode 换一换
格式:DOCX , 页数:11 ,大小:18.46KB ,
资源ID:7737773      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/7737773.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ASA+webvpn+配置.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

ASA+webvpn+配置.docx

1、ASA+webvpn+配置(ASA) Cisco Web VPN 配置详解注意:本文仅对WebVPN特性和配置作介绍,不包含SSL VPN配置,SSL VPN配置在这里详细有介绍 首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)下面列出在ASDM中看到的默认值:默认IPSec-l2l隧道组: DefaultL2LGroup默认IPSec-ra隧道组: DefaultRAGroup默认WebVPN隧道组: DefaultWEBVPNGroup默认组策略: Df

2、ltGrpPolicy默认组策略的默认隧道协议: IPSec-l2l可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载WebVPN时默认采用DefaultWEBVPNGroup,用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。1、WebVPN服务基本配置。ciscoasa(config)# int e0/0ciscoasa(config-if)# ip address 198.1.1.1 255.

3、255.255.0ciscoasa(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# int e0/1ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0ciscoasa(config-if)# nameif insideINFO: Security level for inside set to

4、 100 by default.ciscoasa(config-if)# no shciscoasa(config-if)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# enable outside!在外网接口上启动WebVPN!ciscoasa(config)# group-policy mywebvpn-group-policy ?configure mode commands/options: external Enter this keyword to specify an external group policy in

5、ternal Enter this keyword to specify an internal group policy!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。!ciscoasa(config)# group-policy mywebvpn-group-policy internal!创建了一个名为mywebvpn-group-policy的Internal类型Policy。!ciscoasa(config)# group-policy mywebvpn-group-policy ? configure mode commands/optio

6、ns: attributes Enter the attributes sub-command mode external Enter this keyword to specify an external group policy internal Enter this keyword to specify an internal group policy!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。!ciscoasa(config)# username steve6307 password cisco!创建一个本地用户c

7、iscoasa(config)# username steve6307 attributesciscoasa(config-username)# vpn-group-policy mywebvpn-group-policy!将用户加入刚才创建的VPN策略组中注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的VPN策略组,直接赋予策略(俗曰“权限”)。注意:不过这是不推荐的,因为这样配置的可扩展性太差。!ciscoasa(config)# tunnel-group mywebvpn-group type webvpn!创建一个名为mywebvpn-group的webvpn隧道组。!

8、ciscoasa(config)# tunnel-group mywebvpn-group general-attributesciscoasa(config-tunnel-general)# authentication-server-group LOCAL!定义该隧道组用户使用的认证服务器,这里为本地认证ciscoasa(config)# webvpnciscoasa(config-webvpn)# tunnel-group-list enable!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆!ciscoasa(config)# tunnel-group mywebvpn-gr

9、oup webvpn-attributesciscoasa(config-tunnel-webvpn)# group-alias group1 enable!为改组定义别名,用于显示给用户进行选择。!到此为止,WebVPN基本配置完毕,可以开始让外网用户使用浏览器测试了。2、WebVPN测试。本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。在浏览器中输入https:/198.1.1.1即可访问到WebVPN主页。由于只定义了一个WebVPN隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这

10、里是使用和的联盟首页做的一台内网测试用的Web服务器。1、ASA基本配置。ciscoasa(config)# int e0/0 ciscoasa(config-if)# ip add 198.1.1.1 255.255.255.0ciscoasa(config-if)# nameif outsideINFO: Security level for outside set to 0 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# int e0/1ciscoasa(config-i

11、f)# ip add 10.10.1.1 255.255.255.0ciscoasa(config-if)# nameif insideINFO: Security level for inside set to 100 by default.ciscoasa(config-if)# no shutciscoasa(config-if)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# enable outsideciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2

12、.169.pkgciscoasa(config-webvpn)# svc enable!在外网接口上启动WebVPN,并且启动SVC(SSL VPN Client)功能2、SSL VPN准备工作。ciscoasa(config)# ip local pool ssl-user 192.168.10.1-192.168.10.99!创建SSL VPN用户地址池!ciscoasa(config)# access-list go-vpn permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0ciscoasa(config)# nat

13、(inside) 0 access-list go-vpn!设置SSL VPN数据不作nat翻译3、WebVPN隧道组与策略组ciscoasa(config)# group-policy mysslvpn-group-policy internal!创建名为mysslvpn-group-policy的组策略!ciscoasa(config)# group-policy mysslvpn-group-policy attributesciscoasa(config-group-policy)# vpn-tunnel-protocol webvpnciscoasa(config-group-pol

14、icy)# webvpnciscoasa(config-group-webvpn)# svc enableciscoasa(config-group-webvpn)# exitciscoasa(config-group-policy)# exitciscoasa(config)#!在组策略中启SVC!ciscoasa(config-webvpn)# username steve6307 password cisco!创建用户!ciscoasa(config)# username steve6307 attributesciscoasa(config-username)# vpn-group-p

15、olicy mysslvpn-group-policyciscoasa(config-username)# exit!赋予用户策略!ciscoasa(config)# tunnel-group mysslvpn-group type webvpnciscoasa(config)# tunnel-group mysslvpn-group general-attributesciscoasa(config-tunnel-general)# address-pool ssl-userciscoasa(config-tunnel-general)# exit!设置SSL VPN用户的地址池!cisco

16、asa(config)# tunnel-group mysslvpn-group webvpn-attributesciscoasa(config-tunnel-webvpn)# group-alias group2 enableciscoasa(config-tunnel-webvpn)# exit!ciscoasa(config)# webvpnciscoasa(config-webvpn)# tunnel-group-list enable4、配置SSL VPN隧道分离(可选)。ciscoasa(config)# access-list split-ssl extended permit

17、 ip 10.10.1.0 255.255.255.0 any!注意源地址为ASA的inside网络地址,目标地址始终为any!ciscoasa(config)# group-policy mysslvpn-group-policy attributesciscoasa(config-group-policy)# split-tunnel-policy tunnelspecifiedciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl测试在浏览器中输入https:/198.1.1.1访问WebVPN。s

18、1.gif (31.74 KB)06-11-23 20:29登陆后,WebVPN直接启动SSL Client安装程序。s2.gif (43.6 KB)06-11-23 20:29s3.gif (4.03 KB)06-11-23 20:29s4.gif (3.69 KB)06-11-23 20:29SSL VPN建立成功!s5.gif (6.71 KB)06-11-23 20:29看看SVC的状态信息。s7.gif (13.57 KB)06-11-23 20:29看看SVC的版权信息(Cisco的一堆废话,呵呵)。s8.gif (17.59 KB)06-11-23 20:29SSL连接建立成功以

19、后,ASA上将自动创建指向客户的路由。ciscoasa(config)# sh routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E

20、- EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static routeGateway of last resort is not setS 192.168.10.1 255.255.255.255 1/0 via 198.1.1.2, outsideC 10.10.1.0 255.255.255.0 is directly

21、 connected, insideC 198.1.1.0 255.255.255.0 is directly connected, outside注:此例中外网用户的地址为198.1.1.2,ASA将该静态路由直接指向外网用户的公网地址。忘了给show run,呵呵,再续一下!ciscoasa# show run: Saved:ASA Version 7.2(1)24!hostnameciscoasaenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/0nameif outsidesecurity-level

22、 0ip address 198.1.1.1 255.255.255.0!interface Ethernet0/1nameif insidesecurity-level 100ip address 10.10.1.1 255.255.255.0!interface Ethernet0/2shutdownnonameifno security-levelnoip address!interface Management0/0shutdown nonameifno security-levelnoip addressmanagement-only!passwd 2KFQnbNIdI.2KYOU

23、encryptedftp mode passiveaccess-list go-vpn extended permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 anypager lines 24mtu outside 1500mtu inside 1500ip local pool ssl-user 192.168.10.1-192.168.10.99noasdm history enablearp

24、timeout 14400nat (inside) 0 access-list go-vpntimeoutxlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeoutsunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeoutuauth

25、0:05:00 absolutegroup-policymysslvpn-group-policy internalgroup-policymysslvpn-group-policy attributesvpn-tunnel-protocolwebvpnsplit-tunnel-policytunnelspecifiedsplit-tunnel-network-list value split-sslwebvpn svc enableusername steve6307 password Dt4qNrv3ojM/D.Cn encryptedusername steve6307 attribut

26、esvpn-group-policymysslvpn-group-policynosnmp-server locationnosnmp-server contactsnmp-server enable traps snmp authentication linkup linkdowncoldstarttunnel-groupmysslvpn-group type webvpntunnel-groupmysslvpn-group general-attributesaddress-poolssl-usertunnel-groupmysslvpn-group webvpn-attributesgr

27、oup-alias group2 enabletelnet timeout 5ssh timeout 5console timeout 0!webvpnenable outsidesvc image disk0:/sslclient-win-1.1.2.169.pkg 1svc enable tunnel-group-list enableprompt hostname contextCryptochecksum:00000000000000000000000000000000: endCSD全称Cisco Secure Desktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司

28、买来的,本文将对其特性及配置作详细介绍。CSD 可以让VPN用户在一个全新的虚拟桌面中完成WebVPN连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲 充 赖取槟庾烂婧驼媸底烂娴奈募 俏薹蚕淼模 庇没叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全,VPN用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。关于CSD的一些介绍就写到这里,有疑问的去 学习更多相关知识。在阅读本文之前,请仔细阅读本版中的“Cisco Web VPN 配置详解 ”和“Cisco SSL VPN 配

29、置详解”,前两篇文章中出现的内容本文不再敷述。1、按照前面的文章配置好WebVPN或SSL VPN,本例使用SSL VPN配置,本例中所涉及的配置都是在SSL VPN配置并测试好的情况下完成的。SSL VPN配置输出省略。2、在ASA上启动安全桌面。ciscoasa(config)# webvpnciscoasa(config-webvpn)# csd image disk0:/securedesktop-asa-3.1.1.45-k9.pkgciscoasa(config-webvpn)# csd enable3、为配置CSD策略作准备。由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。ciscoasa(config)# asdm image disk0:/asdm521-54.binciscoasa(config)# http 10.10.1.0 255.255.255.0 inside!设置允许对ASA进行WEB管理的主机!ciscoasa(config)# http server enable 444!为什么要444端口呢?443已经被WebVPN占用啦!4、配置CSD策略。在内网主机的浏览器中输入https:/10.10.1.1:444访问ASDM配置页面。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1