功能介绍:

       此功能用于用户在外网进行域登录。大家想想,只有用户的终端设备处在企业内网时,用户才能登录域。那公司员工在外出差的情况下怎么登录域(员工肯定是没有本地用户的,只有域用户)?那我们就要用到Anyconnect SBL 的功能,让用户登录域之前通过×××来接入企业内网。

应用场景拓扑:

p_w_picpath_thumb51

如上图所示,在图一中用户的电脑在内网中可以通过红色线的路径访问DC服务器进行域登录,在图二中当用户电脑处在外网时,用户必须在进行域登录之前先通过×××接入企业内网。

实验环境:

Server IP:10.1.1.100/24

ASA:Outside:202.100.1.254/24    Inside 10.1.1.254/24

内网PC:10.1.1.1/24 DNS:10.1.1.100

外网PC:202.100.1.100/24

软件版本:asa804-k8.bin,anyconnect-win-2.5.6005-k9.pkg,anyconnect-win-3.1.00495-k9.pkg(因为SBL 这个功能只有anyconnect 2.5及上版本才支持)

初始配置:

       ASA:                                                  

----- ----------IP 初始化------------

ciscoasa(config)# sho run interface

       interface GigabitEthernet0/0

       nameif Inside

       security-level 100

       ip address 10.1.1.254 255.255.255.0

       no shutdown

       interface GigabitEthernet0/1

       nameif Outside

       security-level 0

       ip address 202.100.1.254 255.255.255.0

       no shutdown 
----------基本SSL *** Anyconnect配置---------      

ciscoasa# sho run web***

       web***

       enable Outside

       svc p_w_picpath disk0:/anyconnect-win-2.5.6005-k9.pkg 1

       svc enable

ciscoasa(config)# sho run ip local pool

    ip local pool svc1 100.1.1.1-100.1.1.100

ciscoasa(config)# sho run group-policy

    group-policy DfltGrpPolicy attributes

    dns-server value 10.1.1.100

    ***-tunnel-protocol l2tp-ipsec svc web***

   address-pools value svc1

-------------ASDM  连接配置------

因为SBL 这个功能要用ASDM 配置,如果你硬要用CLI来做我也拦不到你,只要你做的到(通过CLI 来编写XML文件,然后调用)

ciscoasa(config)# sho run http

    http server enable 500

    http 0.0.0.0 0.0.0.0 Outside

ciscoasa(config)# sho run aaa

    aaa authentication http console LOCAL

ciscoasa(config)# sho run username

    username svc1 password kRHNXQoFliPpegtM encrypted privilege 15

经上面的一系列配置已经完成了SSL *** anyconnect 的 配置,可以先用外网PC做一下连接测试:

 p_w_picpath_thumb17

(因为我们用的默认group-policy ,认证方式默认是本地数据库认证

点击连接:p_w_picpath_thumb18看到右下角连接成功。

---------用ASDM进行SBL 功能配置------------

1、打开ASDM,连接到我们的ASA:

p_w_picpath_thumb16

2、 打开configuration → Network (Client) Access →  AnyConnect Clinet Profile,点击右边的Add:   p_w_picpath_thumb15

3、 创建XML文件(高手可以在CLI中自己编,嘿嘿)。

 p_w_picpath_thumb32

现我们到CLI 中验证一下:

①用dir 命令可以看到Flash下面多了一个sbl.xml的文件,这就是我们通过ASDM添加的。

②用show run group-policy,可以看到调用了一个叫sbl的策略文件:p_w_picpath_thumb40

③用more flash:/sbl.xml,在输出中可以找到这样一句代码:

Z_RIEYLV0HITGY744J_DW_thumb2

从显示上来看这个就是关于SBL这个功能的,但是现在是fasle状态,我们最后在来观察这个地方的变化。

4、编辑刚才创建的Anyconnect Client Profile :sbl

p_w_picpath_thumb43

钩上Perferenes里面的第一个选项:p_w_picpath_thumb

现在我们在用more flash:/sbl.xml,可以看到

Z_RIEYLV0HITGY744J_DW_thumb变成了

5、在组策略中调用sbl.xml文件和开启可选客户端模块下载:

打开configuration → Network (Client) Access → Group Policies,选中DfltGrpPolicy,点编辑:

p_w_picpath_thumb8

点击Advanced → AnyConnect Client在Optional Client Modules to Download 中选AnyConnect SBL

p_w_picpath_thumb11

Client Profile to Download 中选中我们刚才创建的sbl:

p_w_picpath_thumb14

 

应用、保存。至此在ASA上的配置已经完成。在下篇中将做电脑上的配置和测试。