1、ASA的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
2、SSL ×××配置准备工作
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50 //创建SSL ×××用户地址池.
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50 //创建SSL ×××用户地址池.
Archasa(config)# access-list go-vpn permit ip 172.20.59.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-vpn
//配置SSL ×××数据流不做NAT翻译
Archasa(config)# nat (inside) 0 access-list go-vpn
//配置SSL ×××数据流不做NAT翻译
3、WEB ×××隧道组与策略组的配置
Archasa(config)# group-policy mysslvpn-group-policy internal #创建名为mysslvpn-group-policy的组策略
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn svc
Archasa(config-group-policy)# webvpn
Archasa(config-group-policy)# svc ask enable default svc Archasa(config-group-policy)# svc keep-installer installed
//immediately downloads the client
Archasa(config-group-webvpn)# svc enable #在组策略中启用SSL ×××.
Archasa(config)# group-policy mysslvpn-group-policy internal #创建名为mysslvpn-group-policy的组策略
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn svc
Archasa(config-group-policy)# webvpn
Archasa(config-group-policy)# svc ask enable default svc Archasa(config-group-policy)# svc keep-installer installed
//immediately downloads the client
Archasa(config-group-webvpn)# svc enable #在组策略中启用SSL ×××.
Archasa(config)# username test password woaicisco #创建SSL ×××用户
Archasa(config)# username test attributes #把mysslvpn-group-plicy策略赋予用户test
Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
Archasa(config-username)# service-type remote-access
//使得该用户只能是remote-access时使用,不能被如telnet、ssh等使用.
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
Archasa(config-tunnel-general)# authentication-server-group LOCAL
Archasa(config-tunnel-general)# address-pool ssl-user #调用用户地址池.
Archasa(config-tunnel-general)# default-group-policy mysslvpn-group-policy #策略赋予用户后,此处可以不用配置.
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
Archasa(config)# username test attributes #把mysslvpn-group-plicy策略赋予用户test
Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
Archasa(config-username)# service-type remote-access
//使得该用户只能是remote-access时使用,不能被如telnet、ssh等使用.
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
Archasa(config-tunnel-general)# authentication-server-group LOCAL
Archasa(config-tunnel-general)# address-pool ssl-user #调用用户地址池.
Archasa(config-tunnel-general)# default-group-policy mysslvpn-group-policy #策略赋予用户后,此处可以不用配置.
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
4、配置SSL ×××隧道分离
#注意,SSL ×××隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA的INSIDE地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 172.20.59.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
#注意,SSL ×××隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA的INSIDE地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 172.20.59.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
5.开启ssl-vpn功能
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc p_w_picpath disk0:/sslclient-anyconnect-win-2.2.0140-k9.pkg
Archasa(config-webvpn)# tunnel-group-list enable
Archasa(config-webvpn)# svc enable
#上述配置是在外网口上启动WEB×××,并同时启动SSL ×××功能
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc p_w_picpath disk0:/sslclient-anyconnect-win-2.2.0140-k9.pkg
Archasa(config-webvpn)# tunnel-group-list enable
Archasa(config-webvpn)# svc enable
#上述配置是在外网口上启动WEB×××,并同时启动SSL ×××功能
6.基本上整个配置就完成了,下面可以进行测试:
在浏览器中输入https://192.168.0.1访问WEB ×××,在随后弹出的对话框中输入用户名和密码单击登陆。
这时系统会弹出要求安装SSL ××× CLIENT程序,单击"YES",系统自动安装并连接SSL×××,在SSL×××连通
之后的右下角的任务栏上会出现一个小钥匙状,可以双击打开查看其状态.
