功能介绍:
此功能用于用户在外网进行域登录。大家想想,只有用户的终端设备处在企业内网时,用户才能登录域。那公司员工在外出差的情况下怎么登录域(员工肯定是没有本地用户的,只有域用户)?那我们就要用到Anyconnect SBL 的功能,让用户登录域之前通过×××来接入企业内网。
应用场景拓扑:
如上图所示,在图一中用户的电脑在内网中可以通过红色线的路径访问DC服务器进行域登录,在图二中当用户电脑处在外网时,用户必须在进行域登录之前先通过×××接入企业内网。
实验环境:
Server IP:10.1.1.100/24
ASA:Outside:202.100.1.254/24 Inside 10.1.1.254/24
内网PC:10.1.1.1/24 DNS:10.1.1.100
外网PC:202.100.1.100/24
软件版本:asa804-k8.bin,anyconnect-win-2.5.6005-k9.pkg,anyconnect-win-3.1.00495-k9.pkg(因为SBL 这个功能只有anyconnect 2.5及上版本才支持)
初始配置:
ASA:
----- ----------IP 初始化------------
ciscoasa(config)# sho run interface
interface GigabitEthernet0/0
nameif Inside
security-level 100
ip address 10.1.1.254 255.255.255.0
no shutdown
interface GigabitEthernet0/1
nameif Outside
security-level 0
ip address 202.100.1.254 255.255.255.0
no shutdown
----------基本SSL *** Anyconnect配置---------
ciscoasa# sho run web***
web***
enable Outside
svc p_w_picpath disk0:/anyconnect-win-2.5.6005-k9.pkg 1
svc enable
ciscoasa(config)# sho run ip local pool
ip local pool svc1 100.1.1.1-100.1.1.100
ciscoasa(config)# sho run group-policy
group-policy DfltGrpPolicy attributes
dns-server value 10.1.1.100
***-tunnel-protocol l2tp-ipsec svc web***
address-pools value svc1
-------------ASDM 连接配置------
因为SBL 这个功能要用ASDM 配置,如果你硬要用CLI来做我也拦不到你,只要你做的到(通过CLI 来编写XML文件,然后调用)
ciscoasa(config)# sho run http
http server enable 500
http 0.0.0.0 0.0.0.0 Outside
ciscoasa(config)# sho run aaa
aaa authentication http console LOCAL
ciscoasa(config)# sho run username
username svc1 password kRHNXQoFliPpegtM encrypted privilege 15
经上面的一系列配置已经完成了SSL *** anyconnect 的 配置,可以先用外网PC做一下连接测试:
(因为我们用的默认group-policy ,认证方式默认是本地数据库认证)
---------用ASDM进行SBL 功能配置------------
1、打开ASDM,连接到我们的ASA:
2、 打开configuration → Network (Client) Access → AnyConnect Clinet Profile,点击右边的Add:
3、 创建XML文件(高手可以在CLI中自己编,嘿嘿)。
现我们到CLI 中验证一下:
①用dir 命令可以看到Flash下面多了一个sbl.xml的文件,这就是我们通过ASDM添加的。
②用show run group-policy,可以看到调用了一个叫sbl的策略文件:
③用more flash:/sbl.xml,在输出中可以找到这样一句代码:
从显示上来看这个就是关于SBL这个功能的,但是现在是fasle状态,我们最后在来观察这个地方的变化。
4、编辑刚才创建的Anyconnect Client Profile :sbl
现在我们在用more flash:/sbl.xml,可以看到
5、在组策略中调用sbl.xml文件和开启可选客户端模块下载:
打开configuration → Network (Client) Access → Group Policies,选中DfltGrpPolicy,点编辑:
点击Advanced → AnyConnect Client在Optional Client Modules to Download 中选AnyConnect SBL
在Client Profile to Download 中选中我们刚才创建的sbl:
应用、保存。至此在ASA上的配置已经完成。在下篇中将做电脑上的配置和测试。
转载于:https://blog.51cto.com/chenglin/1021078