拓扑图:

ASA防火墙配置SSL远程VPN_web VPN

推荐步骤:

  • PC机、防火墙、路由器Web_Server配置IP地址
  • ASA访问ISP的网站使用默认路由,R1访问ISP的网站使用默认路由,ISP访问PC1和PC2使用静态路由全网互通
  • ASA防火墙配置Easy VPN,PC2使用Easy VPN客户端访问PC1的网站服务

实验步骤:

一、PC机、防火墙、路由器Web_Server配置IP地址

1、PC1配置IP地址开启远程管理

1)给PC1接口配置IP地址

PC1(config)#no ip routing

PC1(config)#interface fastEthernet 0/0

PC1(config-if)#ip address 192.168.10.2 255.255.255.0

PC1(config-if)#no shutdown

PC1(config)#ip default-gateway 192.168.10.1

PC1(config)#end

2)查看PC1接口配置IP地址

ASA防火墙配置SSL远程VPN_web VPN_02

3)PC1开启Web功能

PC1(config)#ip http server

 

2、ASA防火墙配置IP地址

1)SA接口配置IP地址

ASA1(config)# interface ethernet 0/0

ASA1(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA1(config-if)# ip address 192.168.10.1 255.255.255.0

ASA1(config-if)# no shutdown

ASA1(config-if)# exit

ASA1(config)# interface ethernet 0/1              

ASA1(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA1(config-if)# ip address 192.168.20.1 255.255.255.0

ASA1(config-if)# no shutdown

ASA1(config-if)# end

2)查看接口配置IP地址

ASA防火墙配置SSL远程VPN_静态路由_03

3、给ISP路由器配置IP地址

1)给ISP接口配置IP地址

ISP(config)#interface fastEthernet 0/0

ISP(config-if)#ip address 192.168.20.2 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0

ISP(config-if)#ip address 192.168.30.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#exit

ISP(config)#interface fastEthernet 2/0

ISP(config-if)#ip address 192.168.40.1 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#end

2)查看ISP接口配置的IP地址

ASA防火墙配置SSL远程VPN_Cisco_04

4、Web_Server配置IP地址地址开启网站功能

1)给Web_Server配置IP地址

WEB_Server(config)#interface fastEthernet 0/0

WEB_Server(config-if)#ip address 192.168.40.2 255.255.255.0

WEB_Server(config-if)#no shutdown

WEB_Server(config-if)#exit

WEB_Server(config)#ip default-gateway 192.168.40.1

WEB_Server(config)#ip http server

WEB_Server(config)#end

2)查看Web_Server配置的IP地址

ASA防火墙配置SSL远程VPN_web VPN_05

6、桥接的PC2配置IP地址

1)给桥接PC2配置IP地址

ASA防火墙配置SSL远程VPN_ip地址_06

2)查看桥接PC2配置的IP地址

ASA防火墙配置SSL远程VPN_web VPN_07

二、PC1访问PC2和ISP的WEB_Server服务器使用默认路由,PC2访问PC1使用静态路由,PC1访问ISP的Web_Server经过NAT地址转换

1、ASA1配置默认路由

1)在ASA1配置默认路由

ASA1(config)# route outside 0 0 192.168.20.2

2)查看路由表

ASA防火墙配置SSL远程VPN_web VPN_08

2、在ISP配置静态路由实现PC2访问PC1

1)在ISP配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.1

2)查看静态路由

ASA防火墙配置SSL远程VPN_Cisco_09

3、在ASA1配置NAT实现PC1访问ISP的Web_Server服务器

1)创建NAT转换规则识别走NAT的流量

ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0

2)将NAT的流量映射到防火墙的外网接口

ASA1(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

ASA1(config)#

2)将icmp协议添加防火墙状态列表

ASA1(config)# fixup protocol icmp

INFO: converting 'fixup protocol icmp ' to MPF commands

ASA1(config)#

3)PC1测试访问Web_Server

ASA防火墙配置SSL远程VPN_web VPN_10

4)查看ASA1地址转换列表

ASA防火墙配置SSL远程VPN_ip地址_11

4、配置允许低安全级别访问高

1)创建访问控制列表

ASA1(config)# access-list out_to_in permit ip any any

2)应用访问控制列表

ASA1(config)# access-group out_to_in in interface outside

三、ASA防火墙配置SSL VPN

1、开启防火墙SSL VPN功能设置验证账户密码

1)开启SSL VPN功能

ASA1(config)# webvpn

ASA1(config-webvpn)# enable outside

INFO: WebVPN and DTLS are enabled on 'outside'.

ASA1(config-webvpn)# exit

2)设置SSL VPN验证账户密码

ASA1(config)# username admin password pwd@123

2、配置组策略使用SSL VPN为无客户端模式

1)创建本地组策略名字local-policy

ASA1(config)# group-policy local-group internal

2)配置本地组策略属性

ASA1(config)# group-policy local-group attributes

3)配置SSL VPN为无客户端模式

ASA1(config-group-policy)# vpn-tunnel-protocol webvpn

ASA1(config-group-policy)# exit

3、配置隧道组

1)创建隧道组名字为vpn-tunnel-group,VPN类型为SSL VPN

ASA1(config)# tunnel-group vpn-tunnel-group type webvpn

2)配置隧道组属性

ASA1(config)# tunnel-group vpn-tunnel-group general-attributes

3)隧道组调用本地组测率

ASA1(config-tunnel-general)# default-group-policy local-group

4)配置验证使用本地验证

ASA1(config-tunnel-general)# authentication-server-group LOCAL

ASA1(config-tunnel-general)# exit

4、配置下拉列表

1)隧道组指定下拉列表名字为benet.com

ASA1(config)# tunnel-group vpn-tunnel-group webvpn-attributes

ASA1(config-tunnel-webvpn)# group-alias benet.com enable

ASA1(config-tunnel-webvpn)# exit

2)开启下俩列表

ASA1(config)# webvpn

ASA1(config-webvpn)# tunnel-group-list enable

ASA1(config-webvpn)# end

5、客户端给访问SSL VPN

1)使用浏览器访问SSL VPN服务器

ASA防火墙配置SSL远程VPN_静态路由_12

2)输入账户密码

ASA防火墙配置SSL远程VPN_静态路由_13

3)访问PC1网站

ASA防火墙配置SSL远程VPN_ide_14

4)PC2访问ISP的Web_Server

ASA防火墙配置SSL远程VPN_ide_15