SSLvpn:full-tunnel mode(svc)认证种类
1.SSLvpn认证种类
1.1 SVC客户端基本配置
1.2 SVC组锁定配置
1.3 SVC组锁定通过Microsoft AD域进行ldap认证
1.4 SVC通过Cisco ACS进行认证
1.5 SVC组锁定通过Microsoft证书进行认证
SSLvpn配置实现:
1.1 SVC客户端基本配置
F0/5
VM1
模拟出差办公,需要使用Anyconnect拨入公司内部服务器
实现SVC基本配置通过本地database拨入公司内部并可以访问内部某一个服务器。
配置实现:
ASA Version 8.0(2)
hostname asa
interface Ethernet0/0
nameif outside
security-level 0
ip address 202.100.1.10 255.255.255.0
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.10 255.255.255.0
access-list split extended permit ip 192.168.10.0 255.255.255.0 100.1.1.0 255.255.255.0 access-list nonat extended permit ip 192.168.10.0 255.255.255.0 100.1.1.0 255.255.255.0
nat (inside) 0 access-list nonat
access-list out extended permit icmp any any
access-group out in interface outside
ip local pool ssl 100.1.1.100-100.1.1.150
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
route outside 0.0.0.0 0.0.0.0 202.100.1.10 1
route inside 192.168.10.0 255.255.255.0 10.1.1.1 1
webvpn 进入webvpn配置模式
黑袍是谁enable outside 外部接口开启webvpn
svc image disk0:/anyconnect-win-2.2.0140-k9.pkg 1 定义svc客户端在ASA上的存储位置svc enable 开启svc
tunnel-group-list enable 开启组列表
group-policy sslgroup internal 定义group-policy属性
group-policy sslgroup attributes
vpn-tunnel-protocol svc webvpn 允许此tunnel中运行的协议
扬州个园导游词split-tunnel-policy tunnelspecified 定义隧道策略
split-tunnel-network-list value split 匹配隧道分离ACL
webvpn 进入webvpn
svc keep-installer installed 保持svc客户端安装
svc ask none 不需要询问是否安装
username lihui password cisco 定义本地database
username lihui attributes 用户名lihui下分配到group-policy组中
vpn-group-policy sslgroup
username liyang password cisco
username liyang attributes
vpn-group-policy sslgroup
username sunchenglei password cisco
username sunchenglei attributes
vpn-group-policy sslgroup
tunnel-group ssltunnel type remote-access 定义tunnel-group类型
tunnel-group ssltunnel general-attributes 定义tunnel-group属性
address-pool ssl 定义地址池
default-group-policy sslgroup 设置默认的组策略group-policy
tunnel-group ssltunnel webvpn-attributes 定义tunnel-group的webvpn属性
group-alias sslusers enable 为这个组开启别名属性
通过测试以上用户:lihui,liyang,sunchenglei均可以使用Anyconncet连接到公司内部网络。
1.2 SVC组锁定配置
F0/5
VM1
模拟出差办公,需要使用拨入公司内部服务器
实现SVC组锁定配置通过本地database拨入公司内部并可以访问内部某一个服务器。需求:user1,user2,user3在group_1中,user4在group_2中,不同的组分配不同的地址。
配置实现:
hostname asa
int e0/0
ip add 202.100.1.10 255.255.255.0
nameif outside
int e0/1
ip add 10.1.1.10 255.255.255.0
nameif inside萨顶顶年龄
route inside 192.168.10.0 255.255.255.0 10.1.1.1
route outside 0 0 202.100.1.10
nat (inside) 1 0 0
global (outside) 1 interface
access-list out permit icmp any any
access-group out in interface outside
ip local pool group1 100.1.1.100-100.1.1.150
ip local pool group2 200.1.1.100-200.1.1.150
webvpn
enable outside
svc image flash:/anyconnect-win-2.2.0140-k9.pkg
svc enable
tunnel-group-list enable 开启组列表属性
group-policy group_1 internal
group-policy group_1 attributes
vpn-tunnel-protocol webvpn svc
group-lock value for_group_1设置组锁定,锁定名为for_group_1的tunnel-group webvpn向佐求婚郭碧婷
svc keep-installer installed
什么时候母亲节?svc ask none痞幼6分钟
group-policy group_2 internal
group-policy group_2 attributes
vpn-tunnel-protocol webvpn svc
group-lock value for_group_2 设置组锁定,锁定名为for_group_1的tunnel-group webvpn
svc keep-installer installed
svc ask none
tunnel-group for_group_1 type remote-access
tunnel-group for_group_1 general-attributes
address-pool group1
default-group-policy group_1在tunnel-group1中设置名为group_1的group-policy为默认组
tunnel-group for_group_1 webvpn-attributes 设置sslvpn的web属性
group-alias group_1 enable 为tunnel-group中的用户设置组的别名tunnel-group for_group_2 type remote-access
tunnel-group for_group_2 general-attributes
address-pool group2
default-group-policy group_2 在tunnel-group2中设置名为group_2的group-policy为默认组
tunnel-group for_group_2 webvpn-attributes 设置sslvpn的web属性
group-alias group_2 enable 为tunnel-group中的用户设置组的别名
access-list forgroup_1 permit ip host 192.168.10.10 100.1.1.0 255.255.255.0 定义隧道分离access-list forgroup_2 permit ip host 192.168.10.12 200.1.1.0 255.255.255.0
group-policy group_1 attributes 设置隧道分离属性参数
split-tunnel-policy tunnelspecified
split-tunnel-network-list value forgroup_1
group-policy group_2 attributes 设置隧道分离属性参数
split-tunnel-policy tunnelspecified
split-tunnel-network-list value forgroup_2
access-list nonat permit ip host 192.168.10.10 100.1.1.0 255.255.255.0 vpn bypass设置access-list nonat permit ip host 192.168.10.12 200.1.1.0 255.255.255.0 vpn bypass设置
nat (inside) 0 access-list nonat 应用vpn bypass
username user1 password cisco 定义本地用户database数据库,进行本地认证username user1 attributes 设置用户属性
vpn-group-policy group_1 锁定到group_1中
username user2 password cisco .......
username user2 attributes .......
vpn-group-policy group_1 .......
username user3 password cisco .......
username user3 attributes .......
vpn-group-policy group_1 .......
username user4 password cisco 定义本地用户database数据库,进行本地认证username user4 attributes 设置用户属性
vpn-group-policy group_2 锁定到group_2中
经过测试,用户:user1,user2,user3只能登陆到别名为group_1的组中,并根据策略访问内部192.168.10.10服务器。user4只能登陆到别名为group_2的组中,并只能访问内部192.168.10.12服务器,不能登陆到group_1中。
发布评论