百诺教育-ASA防火墙-5

ssl-vpn 基本配置

asa配置

配置webvpn:

webvpn

enable outside

配置认证用户:

username admin password cisco

客户端登陆测试

ssl-vpn与asdm共存

配置ssl-vpn的端口，避免和asdm冲突

默认两者都是443端口，改变任意一个就可以。

改变端口配置

配置http(asdm)端口:

http server enable 444

http 202.100.1.0 255.255.255.0 outside

配置ssl-vpn端口：

webvpn

enable outside

prot 444

ssl-vpn的http-proxy

asa为一个访问代理，client-pc访问内部服务器，发送给asa,asa就代理pc访问内部服务器，服务器返回给asa,asa有返回给client-pc.

如果asa没有能力直接访问内部的服务器，这时asa就需要一个代理(proxy).

http-proxy配置

就是告诉asa,去往内部的访问，都交给1.1.1.1，由1.1.1.1代理asa去访问服务器。

配置http-proxy:

webvpn

http-proxy 1.1.1.1 80

java插件

可以去cisco网站上下载这些asa上的java插件。

插件有:远程桌面rdp、vnc、ssh、telnet

所有的访问是用java插件来完成的，不是用本地的程序，本地不需要这些程序的。

查看java插件:

show flash

导入这些插件

import webvpn plug-in protocol rdp flash:/rdbp.jar

import webvpn plug-in protocol ssh,telnet flash:/ssh.jar

import webvpn plug-in protocol vnc flash:/vnc.jar

配置端口转发

定义port-forward:

webvpn

port-forward port-f 23230 10.1.1.1 23

定义组策略

group-policy for-port internal

group-policy for-port attributes

vpn-tunnel-protocol webvpn

webvpn

port-forward enable port-f

定义用户属性:username admin attributes

vpn-group-policy for-port

asa ssl-vpn svc

就是ssl-vpn服务器会下发一个vpn软件客户端，可以安装到本地，类似ez-vpn客户端软件一样。

这个软件可以安装在本地，下次连接还可以使用，也可以设置每一次连接都重新下载本地。

配置svc

上传scv到asa上：

show flash:

加载svc:

webvpn

svc image flash:/anyconnect-win-2.2.0140-k9.pkg

启动svc:

svc enable

启动tunnel-group

tunnel-group-list enable

配置组策略：

group-policy svc-1 internal

group-policy svc-1 attributes

vpn-tunnel-protocol webvpn svc

webvpn

svc keep-installer installed

配置用户属性:username admin attributes

vppn-group-policy svc-1

配置pool:

ip  pool ssl-pool-1 100.1.1.10-100.1.1.20

配置组：

tunnel-group tunnel-svc-1 type remote-access

tuunel-group tunnel-svc-1 general-attributes

address-pool ssl-pool-1

default-group-policy svc-1

配置组webvpn属性:

tunnel-group tunnel-svc-1 webvpn-attributes

group-alias tunnel-svc-alias enable

ssl-vpn组锁定

在很多用户、或者根据策略需要设置了不同的组。但是这些用户和组之间时可以互相访问的。

组锁定：就是不同用户在不同的组，用户只可以访问之间所在的组。实现了不同组的用户之间的隔离。

ssl-vpn基于svc（没有组锁定）

需要配置一个基本svc的ssl-vpn,就是没有启用组锁定。

需要配置2个或多个组。测试用户和组可以互访。

ssl-vpn组锁定的配置

组1的锁定

group-policy svc-1 attributes

vpn-tunnel-protocol webvpn svc

group-lock value tunnel-svc-1

组2的锁定

group-policy svc-2 attributes

vpn-tunnel-protocol webvpn svc

group-lock valute tunnel-svc-2

定义外部aaa服务器

aaa-server ssl-vpn protocol radius

aaa-server ssl-vpn (inside）host 10.1.1.241

key cisco