实验




实验拓扑图:

防火墙上实现胖客户端SSL×××_防火墙实验步骤:


各设备IP地址规划:

 

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

 

R3(config)#int f0/0

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

 

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside


防火墙上实现胖客户端SSL×××_SSLVPN_02



防火墙上实现胖客户端SSL×××_防火墙_03



配置默认路由:

 

ciscoasa(config)# ip route 0 0 100.0.0.2

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

 

配置NAT:

 

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/0 overload 

R3(config)#int f0/0

R3(config-if)#ip nat out

R3(config-if)#int f0/1

R3(config-if)#ip nat in

 

测试与×××设备通信:


防火墙上实现胖客户端SSL×××_防火墙_04


将客户端软件通过TFTP传送到ASA防火墙:


输入本地主机IP地址:

防火墙上实现胖客户端SSL×××_SSLVPN_05


在GNS3上模拟需要防火墙具有保存功能:


创建名为start-config文件:

ciscoasa# copy running-config disk0:/.private/stratup-config



ciscoasa(config)# copy tftp: disk0:  //上传到disk0


Address or name of remote host [10.0.0.2]? 10.0.0.2  //源主机IP地址


Source filename [anyconnect]? sslclient-win-1.1.4.179-anyconnect.pkg   //上传的客户端软件名称


配置胖客户端SSL×××:


ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any  //指定客户端感兴趣流量

ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0   //分给客户端的IP

ciscoasa(config-if)# webvpn  

ciscoasa(config-webvpn)# enable outside  //开启webvpn隧道

ciscoasa(config-webvpn)# svc p_w_picpath disk0:/sslclient-win-1.1.4.179-anyconnect.pkg  //指定客户端软件

ciscoasa(config-webvpn)# svc enable 

ciscoasa(config-webvpn)# tunnel-group-list enable   //使用户可以选择组列表

ciscoasa(config-webvpn)# ex

ciscoasa(config)# group-policy gpolicy internal //定义组策略为本地

ciscoasa(config)# group-policy gpolicy attributes   //定义各种属性

ciscoasa(config-group-policy)# vpn-tunnel-protocol svc webvpn   //指定隧道类型,并开启胖客户端

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //开启隧道分离

ciscoasa(config-group-policy)# split-tunnel-network-list value 110

ciscoasa(config-group-policy)# webvpn

ciscoasa(config-group-webvpn)# svc ask enable 

ciscoasa(config)# username zhangsan password 123123

ciscoasa(config)# tunnel-group tg type webvpn  //定义隧道组

ciscoasa(config)# tunnel-group tg general-attributes   //定义各种属性

ciscoasa(config-tunnel-general)# address-pool vip  //调用地址池

ciscoasa(config-tunnel-general)# default-group-policy gpolicy  //调用组策略

ciscoasa(config-tunnel-general)# tunnel-group tg webvpn-attributes   

ciscoasa(config-tunnel-webvpn)# group-alias groups enable   //启用别名



使用客户端登录×××设备:


防火墙上实现胖客户端SSL×××_防火墙_06


点击下载客户端:


防火墙上实现胖客户端SSL×××_SSLVPN_07


下载浏览器控件:


防火墙上实现胖客户端SSL×××_SSLVPN_08



防火墙上实现胖客户端SSL×××_防火墙_09


防火墙上实现胖客户端SSL×××_胖客户端_10


防火墙上实现胖客户端SSL×××_SSLVPN_11

×××客户端安装完成:

防火墙上实现胖客户端SSL×××_防火墙_12


测试客户端访问公司内网服务器:


防火墙上实现胖客户端SSL×××_SSLVPN_13


实验完成