基本配置:
ASA(config)#int e0/0
ASA(config-if)#ip address 198.1.1.1 255.255.255.0
ASA(config-if)#nameif outside
ASA(config-if)#no shut
ASA(config)#int e0/1
ASA(config-if)#ip address 10.10.1.1 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#no shu
!
ASA(config)#web***
ASA(config-web***)#enable outside
ASA(config-web***)#svc image disk0:/sslclient-win-1.1.2.169.pkg可以去cisco.com下载.(要CCO)
ASA(config-web***)#svc enable
!在外接口上启动Web***,并且启动SVC(ssl *** Client)
SSL ***配置:
ASA(config)#ip local pool ssl-user 192.168.10.1-192.168.10.99 创建SSL ***用户地址池
ASA(config)#access-list go-*** permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0
ASA(config)#nat (inside) 0 access-list go *** 设置SSL ***数据不作NAT翻译
ASA(config)#group-policy myssl***-group-policy internal 创建名为myssl***-group-policy的组策略
ASA(config)#group-policy myssl***-group-policy attributes
ASA(config-group-policy)#***-tunnel-protocol web***
ASA(config-group-policy)#web***
ASA(config-group-policy-web***)#svc enable 在组策略中启SVC
ASA(config)#username test01 passw cisco
ASA(config)#username test01 attributes
ASA(config-username)#***-group-policy myssl***-group-policy 赋予用户策略
ASA(config)#tunnel-group myssl***-group type web***
ASA(config)#tunnel-group myssl***-group general-attributes
ASA(config-tunnel-general)#address-pool ssl-user 设置SSL ***用户的地址池
ASA(config)#tunnel-group myssl***-group web***-attributes
ASA(config-tunnel-web***)#group-alias group2 enable
ASA(config)#web***
ASA(config-web***)#tunnel-group-list enable 配置SSL ***隧道分离
ASA(config)#access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
注意:源地址为ASA的内网口地址,目标地址始终为ANY
ASA(config)#group-policy myssl***-group-policy attributes
ASA(config-group-policy)#split-tunnel-policy tunnelspecified
ASA(config-group-policy)#split-tunnel-network-list value split-ssl
三.测试
1.在浏览器中输入:https://192.168.1.1
如下图:
2.登陆后直接启动SSL CLIENT安装程序.如图:
3.选择YES如下图:
4.SSL ***建立成功,如下图:
5.SVC的状态信息,如图: