请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1109|回复: 3

[原创]IOS和ASA之间IPSEC配置及其ASA的SSL VPN 配置 [2]

[复制链接]
发表于 2019-5-14 23:10:57 | 显示全部楼层 |阅读模式
继续上次的实验。。。。。

上一个实验因为图片有点问题,好不容易弄好,就不再敢随便动原来的帖子了,故新创建一个。

上次实验的链接为:


4.3.2 Smart-tunnel


ASA1(config)# webvpn
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP telnet telnet.exe
ASA1(config-webvpn)#smart-tunnel list Telnet-RDP RDP mstsc.exe
ASA1(config-webvpn)# exit
ASA1(config)#group-policy GP-SSL attributes
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#smart-tunnel enable Telnet-RDP
ASA1(config-group-webvpn)#smart-tunnel auto-start Telnet-RDP //自动启用smart-tunnel
ASA1(config-group-webvpn)#exit

验证: PC退出, 重新登录






4.4 SVC(SSL VPNClient)模式(厚客户端模式)
两种Anyconnect安装方式:
Web-enablemode: 需要使用浏览器,在线通过ActivX或Java安装.
Standalonemode: 使用MSI安装包, 直接在客户系统安装.
配置步骤:
1. 加载并激活SVC


ASA1(config)# webvpn
ASA1(config-webvpn)#enable outside
ASA1(config-webvpn)#anyconnect image flash:/anyconnect-win-3.0.0629-k9.pkg
ASA1(config-webvpn)#anyconnect enable
ASA1(config-webvpn)# exit


2.定义Pool, 创建用户

ASA1(config)# ip localpool SSLPOOL 172.16.100.1-172.16.100.100
ASA1(config)# usernamessluser1 password cisco

3.创建group-policy

ASA1(config)#group-policy GP1 internal                 
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#vpn-tunnel-protocol ssl-client ssl-clientless
ASA1(config-group-policy)#address-pools value SSLPOOL
ASA1(config-group-policy)#webvpn
ASA1(config-group-webvpn)#anyconnect keep-installer installed //可选
ASA1(config-group-policy)#exit
ASA1(config)# usernamessluser1 attributes
ASA1(config-username)#vpn-group-policy GP1
ASA1(config-username)#exit
ASA1(config)# objectnetwork SSL
ASA1(config-network-object)#subnet 172.16.100.0 255.255.255.0
ASA1(config)# nat(inside,outside) source static INSIDE INSIDE destination static SSL SSL //SSLVPN的流量同样需要NATBypass


验证:



下载,安装客户端





隧道分割:


ASA1(config)# access-listSPLIT-ACL2 permit 172.16.1.0 255.255.255.0
ASA1(config)#group-policy GP1 attributes
ASA1(config-group-policy)#split-tunnel-policy tunnelspecified
ASA1(config-group-policy)#split-tunnel-network-list value SPLIT-ACL2
ASA1(config-group-policy)#exit

验证, anyconnect断开重新连接.




防火墙断开VPN
vpn-sessiondblogoff





ASA的继承模型:
1.ConnectionProfile(tunnel-group)
1)用户自定义
2)系统缺省
   a)DefaultL2LGroup type ipsec-l2l                     ——IPSecVPN
   b)DefaultRAGroup type remote-access                ——IPSecVPN, EZVPN
   c)DefaultWEBVPNGroup type remote-access           ——SSLVPN
2.Group Policy  (group policy)
1)用户自定义
2)系统缺省
  a)DfltGrpPolicy
3.UserAttribute (username)

系统默认:
tunnel-groupDefaultWEBVPNGroup type remote-access
tunnel-groupDefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
default-group-policy DfltGrpPolicy
tunnel-groupDefaultWEBVPNGroup webvpn-attributes
authentication aaa

group-policyDfltGrpPolicy internal
group-policyDfltGrpPolicy attributes
vpn-tunnel-protocol IPSecl2tp-ipsec webvpn

三者的调用结构(自定义范例):
group-policyGP-SSL internal
group-policyGP-SSL attributes
vpn-tunnel-protocol webvpn      //只接受webvpn作为隧道协议(不接受l2tp-ipsec)
usernamecisco attributes
vpn-group-policy GP-SSL         //cisco用户继承GL-SSL这个组策略
tunnel-groupTG-SSL type remote-access
tunnel-groupTG-SSL general-attributes
default-group-policyGP-SSL     //缺省组策略GP-SSL

当一个用户连接到ASA时, 首先匹配到tunnel-group,执行default-group-policy,之后用户完成登录,明确身份后, 查找user attributes调用的group-policy, 完成个性化策略设置.

这里tunnel-group调用的default-group-policy 就相当于IOS配置中的default-group-policy
user调用的vpn-group-policy就相当于在IOS GW中,用AAA服务器根据不同用户所关联的个性策略.








实验完结




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2019-5-16 11:58:52 | 显示全部楼层
感谢楼主实力分享,传图不易,辛苦了,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-15 16:34:01 | 显示全部楼层

感谢楼主实力分享,传图不易,辛苦了,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-9-12 10:14:12 | 显示全部楼层
感谢楼主实力分享,传图不易,辛苦了,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-10-17 04:13 , Processed in 0.097354 second(s), 39 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表