cjh 12.2.2 思科ASA:思科ASA的SSLVPN配置(瘦客户端,代理转换模型:应用层)
12.2.2 思科ASA:思科ASA的SSLVPN配置(瘦客户端,代理转换模型:应用层)
拓扑图
(1)PC1配置好WEB与FTP服务
(2.1)配置管理接口的ip地址、安全区域与配置ASDM访问
interface Ethernet0
nameif manager
security-level 90
ip address 10.12.5.5 255.255.0.0
no shutdown
(2.2)访问规则:允许所有
命令行配置:permit any any
ciscoasa(config)# access-list global_access_1 extended permit ip any any
ciscoasa(config)# access-group global_access_1 global
access-list global_access_1 extended permit ip any any
access-group global_access_1 global
(2.3)配置ASDM来管理ASA防火墙 (图形化界面管理防火墙)
ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户
ciscoasa(config)# http server enable
ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围
username admin password admin privilege 15
http server enable
http 0.0.0.0 0.0.0.0 manager
(2.4)ASA配置业务接口
interface Ethernet1
nameif inside
security-level 80
ip address 192.168.1.254 255.255.255.0
no shutdown
!
!
interface Ethernet2
nameif outside
security-level 20
ip address 11.11.11.1 255.255.255.0
no shutdown
(2.5)ASA配置默认路由
route outside 0.0.0.0 0.0.0.0 11.11.11.254 1
(3)配置ISP路由器:
interface GigabitEthernet0/0
ip address 11.11.11.254 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 200.200.200.254 255.255.255.0
duplex auto
speed auto
media-type rj45
(4)设置SSL VPN验证账户密码
asa1(config)# username user1 password cisco privilege 0
(5.1)配置转发
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# port-forward p1 8080 192.168.1.100 80
(5.2)创建本地组策略名字g1
ciscoasa(config)# group-policy g1 internal
(5.3)配置本地组策略属性
ciscoasa(config)# group-policy g1 attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# port-forward enable p1
(5.4)配置user1的相关属性
ciscoasa(config)# username user1 attributes
ciscoasa(config-username)# vpn-group-policy g1
配置隧道组
(6.1)创建隧道组名字为g1,VPN类型为webvpn
asa1(config)# tunnel-group t1 webvpn-attributes
(6.2)配置隧道组属性
ciscoasa(config-tunnel-webvpn)# tunnel-group t1 general-attributes
(6.3)隧道组调用本地组测率
ciscoasa(config-tunnel-general)# default-group-policy g1
(6.4)配置验证使用本地验证
asa1(config-tunnel-general)# authentication-server-group LOCAL
配置下拉列表
(7.1)隧道组指定下拉列表名字为benet.com
asa1(config)# tunnel-group t1 webvpn-attributes
asa1(config-tunnel-webvpn)# group-alias zh-cjh.com enable
(7.2)开启下俩列表
asa1(config)# webvpn
asa1(config-webvpn)# tunnel-group-list enable
(8)启用基于SSL协议的VPN连接
asa1(config)# webvpn
asa1(config-webvpn)# enable outside
INFO: WebVPN and DTLS are enabled on 'outside'.
asa1(config-webvpn)# exit
(9)使用浏览器给访问SSL VPN
使用浏览器访问SSL VPN服务器
登录失败:
clientless(browser) ssl vpn access is not allowed
尝试登录失败后,浏览器中显示“Clientless (browser) SSL VPN access is not allowed.” (不允许无客户端(浏览器)SSL VPN 访问。)消息。如果显示“Premium AnyConnect license is not enabled on the ASA.”(ASA 上未启用高级 AnyConnect 许可证)消息,则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。
解决方案
使用以下命令启用高级 AnyConnect 许可证:
asa1(config)# webvpn
asa1(config-webvpn)# no anyconnect-essentials
在PC2上测试:登录成功
(10)测试
出现以下问题的原因之一是需要安装J2RE。
JAVA(J2RE1.4+)下载地址:
java.sun.com/products/plugin/index.html#download
备注:使用ie浏览器正常,使用其他浏览器会有以下情况:
360浏览器的兼容模式也是支持的:
思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 12.2.2 思科ASA:思科ASA的SSLVPN配置(瘦客户端,代理转换模型:应用层)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm