取消
显示结果 
搜索替代 
您的意思是: 
cancel
13135
查看次数
28
有帮助
23
评论
luodaheng1
Spotlight
Spotlight
本帖最后由 luodaheng 于 2018-12-26 14:21 编辑
在很多企业中,需要实现不同的人员有不同的VPN访问权限,之前有种方法是在ASA上定义不同的VPN tunnel Group,用户在连接anyconnect客户端时下拉选择不同的组来实现不同的VPN访问。
下面这个案例中使用的是ASA和ISE结合,以简化客户端的访问。不用下拉选择不同的组来实现不同的用户有不同的VPN权限,
ASA配置部分
1.分别定义企业员工和供应商连接VPN后能访问的内部资源
access-list EmployeeAccess remark "access for employee"
access-list EmployeeAccesss extended permit tcp 172.16.254.0 255.255.255.128 host 172.16.1.x //企业员工可以访问172.16.1.X的服务器
access-list SupplierAccess remark "access for supplier"
access-list SupplierAccess extended permit tcp 172.16.254.128 255.255.255.128 host 172.16.2.x //供应商可访问172.16.2.X的服务器
2.分别定义企业员工和供应商连接VPN后的地址池
ip local pool vpn_pool1 172.16.254.1-172.16.254.127mask 255.255.255.128
ip local pool vpn_pool2 172.16.254.128-172.16.254.254mask 255.255.255.128
3.在ASA上配置 针对企业员工 EmployeeAccessGRP和供应商SupplierAccessGRP 的二个group-policy(注册这二个GROUP的名字,后面会在ISE时面调用
group-policy EmployeeAccessGRP internal
group-policy EmployeeAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value EmployeeAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool1
webvpn
port-forward disable
anyconnect ssl compression deflate
anyconnect profiles value anyconnectprofile type user
anyconnect ask enable default anyconnect timeout 30

group-policy SupplierAccessGRP internal
group-policy SupplierAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value SupplierAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool2
webvpn
port-forward disable
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect ssl compression deflate
anyconnect dtls compression lzs
anyconnect profiles value anyconnectprofile type user

4.在ASA配置RADIUS服务器(ISE的IP地址)
aaa-server CSC_Radius protocol radius
aaa-server CSC_Radius (management) host 172.16.16.136
key *****
aaa-server CSC_Radius (management) host 172.16.16.136
key *****
5 webvpn // 启用ASA的WebVPN
enable outside tls-only
anyconnect image disk0:/anyconnect-win-4.1.01065-k9.pkg 1
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml
anyconnect enable
cache
tunnel-group DefaultWEBVPNGroup general-attributes //调用上面定义的RADIUS认证服务器
authentication-server-group CSC_Radius
6.ISE配置部分
ISE部分因截图较多,上载为附件
评论
one-time
Level 13
Level 13
感谢楼主分享~
luodaheng1
Spotlight
Spotlight
感谢版主的推荐
Mansur
Spotlight
Spotlight
客户端有没有下拉列表,取决于ASA的配置:
webvpn
enable inside
anyconnect image disk0:/anyconnect-win-4.4.03034-webdeploy-k9.pkg 1
anyconnect image disk0:/anyconnect-macos-4.4.04030-webdeploy-k9.pkg 2
anyconnect image disk0:/anyconnect-linux64-4.4.04030-webdeploy-k9.pkg 3
anyconnect enable
tunnel-group-list enable

开启tunnel-group-list enable,客户端就可以自己选择。
不开启的话,就会按照用户属性中的security-group(也就是AD中的OU)来匹配对应的group-policy。
zhangbintjcn
Level 1
Level 1
感谢版主推荐分享
luodaheng1
Spotlight
Spotlight
maguanghua2013 发表于 2018-12-26 14:04
客户端有没有下拉列表,取决于ASA的配置:

启用tunnel-group-list 后,需要多个tunnel-group,然后客户端连接时手工选择不同的Group alias
目前我们的做法是在ISE上根据不同的AD安全组(在用户申请VPN时,将用户加入不同的AD安全组)来调用vpn-filter 中引用的ACL来实现不同的访问权限、
luodaheng1
Spotlight
Spotlight
luodaheng 发表于 2018-12-26 14:34
启用tunnel-group-list 后,需要多个tunnel-group,然后客户端连接时手工选择不同的Group alias
目前我 ...

在实际环境中,我们VPN网关后面还有NGFW,NGFW也和AD集成,同时NGFW会读取VPN用户在ISE上认证的日志以提取里面的用户名和IP映射信息。然后在NGFW做基于用户和应用的访问控制
cpmld-199
Community Member
谢谢分享,学习了。
wuleihen
Spotlight
Spotlight
参考参考,
wuleihen
Spotlight
Spotlight
LZ,咨询下,我之前配置过SSL VPN,一开始我也是配置了
tunnel-group *** webvpn-attributes
group-alias ***** enable
用于显示组列表供用户选择,但我测试下来发现,不管我选哪个组,最终的属性还是根据用户名走的,后来我就索性把这条命令删了,就只有用户名和密码,反正不同同户名我配置里都配置了不同的group-policy,不知这是否合理?
luodaheng1
Spotlight
Spotlight
wuleihen 发表于 2018-12-27 18:02
LZ,咨询下,我之前配置过SSL VPN,一开始我也是配置了
tunnel-group *** webvpn-attributes
group- ...

你可参考:
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=988493&highlight=anyconnect
不管group-alias下拉列表选什么,user都可以登录(因为 username attribute 下没有tunnel-group webvpn-attributes/group-alias选项),但具体访问策略依然还是要看user下的vpn-filter value;
Yanli Sun
Community Manager
Community Manager
感谢楼主分享,敬请期待 “原创先锋”礼包
luodaheng1
Spotlight
Spotlight
CSC_小M 发表于 2018-12-28 10:28
感谢楼主分享,敬请期待 “原创先锋”礼包

期待 版主的“原创先锋”礼包
Yuan Li
Spotlight
Spotlight
vpn filter跟这个有点像;不过这个结合了AAA,谢谢分享
zhengyujia
Community Member
这部分内容总结的很详细,谢谢分享
牛东
Community Member
感谢楼主分享,学习了。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接