取消
显示结果 
搜索替代 
您的意思是: 
cancel
3138
查看次数
40
有帮助
3
评论
LinusT
Cisco Employee
Cisco Employee
继续上次的实验。。。。。

上一个实验因为图片有点问题,好不容易弄好,就不再敢随便动原来的帖子了,故新创建一个。

上次实验的链接为:


4.3.2 Smart-tunnel

ASA1(config)# webvpn
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP telnet telnet.exe
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP RDP mstsc.exe
ASA1(config-webvpn)# exit
ASA1(config)#group-policy GP-SSL attributes
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#smart-tunnel enable Telnet-RDP
ASA1(config-group-webvpn)#smart-tunnel auto-start Telnet-RDP //自动启用smart-tunnel
ASA1(config-group-webvpn)#exit

验证: PC退出, 重新登录
225623k0kvavr5f50wf1gv.png225652gzxzg99hph4t7cva.png
225720qzrdrzgzmonzpato.png
225743w32j3rxuoixzxx83.png
4.4 SVC(SSL VPNClient)模式(厚客户端模式)
两种Anyconnect安装方式:
Web-enablemode: 需要使用浏览器,在线通过ActivX或Java安装.
Standalonemode: 使用MSI安装包, 直接在客户系统安装.
配置步骤:
1. 加载并激活SVC

ASA1(config)# webvpn
ASA1(config-webvpn)#enable outside
ASA1(config-webvpn)#anyconnect image flash:/anyconnect-win-3.0.0629-k9.pkg
ASA1(config-webvpn)#anyconnect enable
ASA1(config-webvpn)# exit

2.定义Pool, 创建用户
ASA1(config)# ip localpool SSLPOOL 172.16.100.1-172.16.100.100
ASA1(config)# usernamessluser1 password cisco

3.创建group-policy
ASA1(config)#group-policy GP1 internal
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#vpn-tunnel-protocol ssl-client ssl-clientless
ASA1(config-group-policy)#address-pools value SSLPOOL
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#anyconnect keep-installer installed //可选
ASA1(config-group-policy)#exit
ASA1(config)# usernamessluser1 attributes
ASA1(config-username)#vpn-group-policy GP1
ASA1(config-username)#exit
ASA1(config)# objectnetwork SSL
ASA1(config-network-object)#subnet 172.16.100.0 255.255.255.0
ASA1(config)# nat(inside,outside) source static INSIDE INSIDE destination static SSL SSL //SSLVPN的流量同样需要NATBypass

验证:

230313x00unhmcrjz5vm22.png
下载,安装客户端

230334xc30jx11dd0jgp6g.png
230406c0vjrkh0jdgwkpdz.png
隧道分割:

ASA1(config)# access-listSPLIT-ACL2 permit 172.16.1.0 255.255.255.0
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#split-tunnel-policy tunnelspecified
ASA1(config-group-policy)#split-tunnel-network-list value SPLIT-ACL2
ASA1(config-group-policy)#exit
验证, anyconnect断开重新连接.
230524gk7kqyzqeukk0q8e.png
230546ib7p0k0lzl22270t.png
防火墙断开VPN
vpn-sessiondblogoff

ASA的继承模型:
1.ConnectionProfile(tunnel-group)
1)用户自定义
2)系统缺省
a)DefaultL2LGroup type ipsec-l2l ——IPSecVPN
b)DefaultRAGroup type remote-access ——IPSecVPN, EZVPN
c)DefaultWEBVPNGroup type remote-access ——SSLVPN
2.Group Policy (group policy)
1)用户自定义
2)系统缺省
a)DfltGrpPolicy
3.UserAttribute (username)

系统默认:
tunnel-groupDefaultWEBVPNGroup type remote-access
tunnel-groupDefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
default-group-policy DfltGrpPolicy
tunnel-groupDefaultWEBVPNGroup webvpn-attributes
authentication aaa

group-policyDfltGrpPolicy internal
group-policyDfltGrpPolicy attributes
vpn-tunnel-protocol IPSecl2tp-ipsec webvpn

三者的调用结构(自定义范例):
group-policyGP-SSL internal
group-policyGP-SSL attributes
vpn-tunnel-protocol webvpn //只接受webvpn作为隧道协议(不接受l2tp-ipsec)
usernamecisco attributes
vpn-group-policy GP-SSL //cisco用户继承GL-SSL这个组策略
tunnel-groupTG-SSL type remote-access
tunnel-groupTG-SSL general-attributes
default-group-policyGP-SSL //缺省组策略GP-SSL

当一个用户连接到ASA时, 首先匹配到tunnel-group,执行default-group-policy,之后用户完成登录,明确身份后, 查找user attributes调用的group-policy, 完成个性化策略设置.

这里tunnel-group调用的default-group-policy 就相当于IOS配置中的default-group-policy
user调用的vpn-group-policy就相当于在IOS GW中,用AAA服务器根据不同用户所关联的个性策略.

实验完结

评论
one-time
Level 13
Level 13
感谢楼主实力分享,传图不易,辛苦了,谢谢!
anrg19881215
Community Member

感谢楼主实力分享,传图不易,辛苦了,谢谢!
jasonzhan3151
Spotlight
Spotlight
感谢楼主实力分享,传图不易,辛苦了,谢谢!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接