ASA之×××配置

原创

shopperman 2010-11-04 09:38:37 ©著作权

©著作权归作者所有：来自51CTO博客作者shopperman的原创作品，请联系作者获取转载授权，否则将追究法律责任

又有n久没来这里了，今天总算是有时间有心情来这里看看，该更新博客了。

公司内外网物理分离，领导要求能通过外网访问内网的OA服务器。通过查找资料，对asa5510进行了如下配置，可以实现该目的。

1.在外网口上启动webvpn，并同时启动ssl vpn功能

asa(config)#webvpn
asa(config-webvpn)#enable outside
asa(config-webvpn)#svc p_w_picpath disk0:/sslclient-win-1.1.2.169.pkg 加载
asa(config-webvpn)#svc enable

2.创建ssl vpn用户地址池

asa(config)#ip local pool go-vpn 10.10.30.180-10.10.30.199

!设置SSL ×××数据不作nat翻译(貌似没有什么作用)
asa(config)# access-list goto-vpn permit ip 0.0.0.0 255.255.255.0 10.10.30.0 255.255.255.0
asa(config)# nat (inside) 0 access-list goto-vpn

3.web vpn隧道组与策略组配置

创建名为mysslvpn-group-policy的组策略

asa(config)#group-policy mysslvpn-group-policy internal
asa(config)#group-policy mysslvpn-group-policy attributes
asa(config-group-policy)#vpn-tunnel-protocol webvpn svc 该隧道组选用webvpn功能

在组策略中启用ssl vpn

asa(config-group-policy)#webvpn
asa(config-group-webvpn)#svc enable
asa(config-group-webvpn)#exit
asa(config-group-policy)#exit

4.创建ssl vpn用户

asa(config)#webvpn
asa(config-webvpn)#username test password cisco

把mysslvpn-group-policy策略赋予用户test

asa(config)#username test attributes
asa(config-username)#vpn-group-policy mysslvpn-group-policy
asa(config-username)#exit
asa(config)#tunnel-group mysslvpn-group type webvpn 创建一个名为mysslvpn-group的webvpn隧道组

使用用户地址池
asa(config)#tunnel-group mysslvpn-group general-attributes
asa(config-tunnel-general)#address-pool go-vpn
asa(config-tunnel-general)#exit
asa(config)#tunnel-group mysslvpn-group webvpn-attributes
asa(config-tunnel-webvpn)#group-alias group2 enable
asa(config-tunnel-webvpn)#exit
asa(config)#webvpn
asa(config-webvpn)#tunnel-group-list enable 激活别名，必须要执行的命令

https://ip 可以访问web vpn，在弹出的对话框中输入用户名和密码就可以登陆，会弹出要求安装ssl vpn client的程序，进行安装即可。