请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 609|回复: 3

【原创】Anyconnect (SSLVPN) 通过远端访问Internet

[复制链接]
发表于 2017-12-25 22:43:17 | 显示全部楼层 |阅读模式

之前和大家分享过一篇anyconnect的配置,看到最近小伙伴们提出了新的需求,要求anyconnect客户端从远端访问Internet, 这个新的需求和之前使用的隧道分割技术不一样,使用隧道分割技术后,只有访问内部网络才会走vpn tunnel,流量才会被加密。但是anyconnect客户端从远端访问Internet就要使用u-turning技术。


第一步:加载VPN image镜像
webvpn        
enable outside
anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable


第二步:配置VPN地址池
ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0

第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT
object network inside
subnet 10.0.0.0 255.0.0.0
  nat (inside,outside) dynamic interface
object network AnyConnect
subnet 172.16.0.0 255.255.255.0

nat (outside,outside) dynamic interface
第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换
nat (inside,outside) source static inside inside destination static anyconnect anyconnect
!
第五步:开启同一端口的流量转发
same-security-traffic permit intra-interface

第六步:配置Group-Policy
group-policy AnyConnect internal
group-policy AnyConnect attributes
dns-server value 114.114.114.114  需要为anyconnect client推送DNS,否则无法解析
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall   所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning

第七步:配置tunnel-group
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable

第八步:配置本地用户名和密码,并调用Group-Policy
usernmae vpnuser password cisco123
username vpnuser  attributes
service-type remote-access

vpn-group-policy AnyConnect
标准红色的部分就是使用了U-turning的技术,所有的流量都会送到远端,和我之前写的的anyconnect不太一样的地方。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-26 12:05:24 | 显示全部楼层
厉害了,这个得置顶加精
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-26 21:18:52 | 显示全部楼层
nat (outside,outside) dynamic interface ? outside,outside  还有这写法?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-26 21:19:20 | 显示全部楼层
nat (outside,outside) 还有这写法?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-6-19 04:57 , Processed in 0.086753 second(s), 39 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表