第一步:copy SVC p_w_picpaths ASA防火墙的flash卡中

hostname# copy tftp flash

 

第二步:指定SVC p_w_picpaths的顺序

hostname(config)# webvpn

hostname(config-webvpn)# svc p_w_picpath disk0:/anyconnect-win-2.1.0148-k9.pkg 1

hostname(config-webvpn)# svc p_w_picpath disk0:/anyconnect-linux-2.1.0148-k9.pkg 2

 

show webvpn svc用于查看顺序

 

第三步:开启SVC功能

hostname(config)# webvpn

hostname(config-webvpn)# enable outside

hostname(config-webvpn)# svc enable

 

第四步:隧道分离ACL

access-list split-ssl-ops extended permit ip 172.19.0.0 255.255.0.0 any

access-list split-ssl-ops extended permit ip 192.168.250.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 192.168.30.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 192.168.41.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 172.23.0.0 255.255.0.0 any

 

第五步:允许×××拨入后能访问的内容

access-list ops-vpn-filter extended permit tcp any host 192.168.250.1eq ssh

 

第六步:配置不走NATACL

access-list nonat-vpn extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-vpn extended permit ip 172.19.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-vpn extended permit ip 172.23.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-vpn extended permit ip 172.24.0.0 255.255.0.0 172.19.0.0 255.255.248.0

nat (inside) 0 access-list nonat-vpn  //tb-ssl-vpn不走NAT

 

第七步:指定地址池

ip local pool ops-pool 172.19.0.1-172.19.0.255 mask 255.255.255.0

 

第八步:配置认证组

aaa-server aaa_group protocol radius

aaa-server aaa_group (inside) host 192.168.250.100  key *

 

第九 步:组策略

group-policy ops-vpn-policy internal               //配置组策略

group-policy ops-vpn-policy attributes             //配置组策略属性 

 dns-server value 172.24.102.103 172.23.30.32   //指定DNS地址,向客户端推送DNS服务器

 vpn-idle-timeout 20                           //设置超时时间

 vpn-filter value ops-vpn-filter                   //设置访问控制

 vpn-tunnel-protocol svc                        //配置隧道协议

 split-tunnel-policy tunnelspecified               //建立隧道分离策略

 split-tunnel-network-list value split-ssl-ops        //配置隧道分离,相当于推送一张路由表

 

第十步:隧道

tunnel-group ops-ssl-tunnel type remote-access   //建立 ssl ×××隧道类型

tunnel-group ops-ssl-tunnel general-attributes    //配置 ssl ×××隧道属性

 address-pool ops-pool                     //设置×××登入内网时分配的IP地址池

 authentication-server-group aaa_group        //配置登陆认证方式

 default-group-policy ops-vpn-policy           //指定默认的组策略

tunnel-group ops-ssl-tunnel webvpn-attributes   //配置页面属性

 group-alias ops enable

 

 

show vpn-sessiondb svc可以看到目前通过SSL ×××拨入的用户信息

ASA系列5510,5520,5580ssl ×××license默认是100,当在线用户超过100个后新用户将不能拨入