wb_ww 发表于 2017-12-25 10:16
谢谢,能给举个例子吗?我目前这个SSLVPN地址池是没有接口的,是不是可以把sslvpn的地址池,单独起一个物 ...
第一步:加载VPN image镜像webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
第二步:配置VPN地址池ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0
第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NATobject network inside
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic interface
object network AnyConnect subnet 172.16.0.0 255.255.255.0 nat (outside,outside) dynamic interface第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换nat (inside,outside) source static inside inside destination static anyconnect anyconnect
!
第五步:开启同一端口的流量转发same-security-traffic permit intra-interface
第六步:配置Group-Policygroup-policy AnyConnect internal
group-policy AnyConnect attributes
dns-server value 114.114.114.114 需要为anyconnect client推送DNS,否则无法解析 vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall 所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning第七步:配置tunnel-grouptunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable
第八步:配置本地用户名和密码,并调用Group-Policyusernmae vpnuser password cisco123
username vpnuser attributes
service-type remote-access
vpn-group-policy AnyConnect
标准红色的部分就是使用了U-turning的技术,所有的流量都会送到远端,和我之前写的的anyconnect不太一样的地方。