继续上次的实验。。。。。
上一个实验因为图片有点问题,好不容易弄好,就不再敢随便动原来的帖子了,故新创建一个。
上次实验的链接为:
4.3.2 Smart-tunnel
ASA1(config)# webvpn
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP telnet telnet.exe
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP RDP mstsc.exe
ASA1(config-webvpn)# exit
ASA1(config)#group-policy GP-SSL attributes
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#smart-tunnel enable Telnet-RDP
ASA1(config-group-webvpn)#smart-tunnel auto-start Telnet-RDP //自动启用smart-tunnel
ASA1(config-group-webvpn)#exit
验证: PC
退出,
重新登录4.4 SVC(SSL VPNClient)模式(厚客户端模式)
两种Anyconnect安装方式:
Web-enablemode: 需要使用浏览器,在线通过ActivX或Java安装.
Standalonemode: 使用MSI安装包, 直接在客户系统安装.
配置步骤:
1. 加载并激活SVC
ASA1(config)# webvpn
ASA1(config-webvpn)#enable outside
ASA1(config-webvpn)#anyconnect image flash:/anyconnect-win-3.0.0629-k9.pkg
ASA1(config-webvpn)#anyconnect enable
ASA1(config-webvpn)# exit
2.
定义Pool,
创建用户ASA1(config)# ip localpool SSLPOOL 172.16.100.1-172.16.100.100
ASA1(config)# usernamessluser1 password cisco
3.
创建group-policy
ASA1(config)#group-policy GP1 internal
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#vpn-tunnel-protocol ssl-client ssl-clientless
ASA1(config-group-policy)#address-pools value SSLPOOL
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#anyconnect keep-installer installed //可选
ASA1(config-group-policy)#exit
ASA1(config)# usernamessluser1 attributes
ASA1(config-username)#vpn-group-policy GP1
ASA1(config-username)#exit
ASA1(config)# objectnetwork SSL
ASA1(config-network-object)#subnet 172.16.100.0 255.255.255.0
ASA1(config)# nat(inside,outside) source static INSIDE INSIDE destination static SSL SSL //SSLVPN的流量同样需要NATBypass
验证:
下载,安装客户端
隧道分割:
ASA1(config)# access-listSPLIT-ACL2 permit 172.16.1.0 255.255.255.0
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#split-tunnel-policy tunnelspecified
ASA1(config-group-policy)#split-tunnel-network-list value SPLIT-ACL2
ASA1(config-group-policy)#exit
验证, anyconnect断开重新连接.
防火墙断开VPN
vpn-sessiondblogoff
ASA的继承模型:
1.ConnectionProfile(tunnel-group)
1)用户自定义
2)系统缺省
a)DefaultL2LGroup type ipsec-l2l ——IPSecVPN
b)DefaultRAGroup type remote-access ——IPSecVPN, EZVPN
c)DefaultWEBVPNGroup type remote-access ——SSLVPN
2.Group Policy (group policy)
1)用户自定义
2)系统缺省
a)DfltGrpPolicy
3.UserAttribute (username)
系统默认:
tunnel-groupDefaultWEBVPNGroup type remote-access
tunnel-groupDefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
default-group-policy DfltGrpPolicy
tunnel-groupDefaultWEBVPNGroup webvpn-attributes
authentication aaa
group-policyDfltGrpPolicy internal
group-policyDfltGrpPolicy attributes
vpn-tunnel-protocol IPSecl2tp-ipsec webvpn
三者的调用结构(自定义范例):
group-policyGP-SSL internal
group-policyGP-SSL attributes
vpn-tunnel-protocol webvpn //只接受webvpn作为隧道协议(不接受l2tp-ipsec)
usernamecisco attributes
vpn-group-policy GP-SSL //cisco用户继承GL-SSL这个组策略
tunnel-groupTG-SSL type remote-access
tunnel-groupTG-SSL general-attributes
default-group-policyGP-SSL //缺省组策略GP-SSL
当一个用户连接到ASA时, 首先匹配到tunnel-group,执行default-group-policy,之后用户完成登录,明确身份后, 查找user attributes调用的group-policy, 完成个性化策略设置.
这里tunnel-group调用的default-group-policy 就相当于IOS配置中的default-group-policy
user调用的vpn-group-policy就相当于在IOS GW中,用AAA服务器根据不同用户所关联的个性策略.
实验完结