实验




实验拓扑图:

wKioL1U7UdCwA8IOAAEcFus1ZCU932.jpg实验步骤:


各设备IP地址规划:

 

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

 

R3(config)#int f0/0

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

 

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside


wKioL1U7Ui-zgK3yAAFqNzdoVVw631.jpg



wKiom1U7UPHSCixYAAFcxGPvluo721.jpg



配置默认路由:

 

ciscoasa(config)# ip route 0 0 100.0.0.2

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

 

配置NAT:

 

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/0 overload 

R3(config)#int f0/0

R3(config-if)#ip nat out

R3(config-if)#int f0/1

R3(config-if)#ip nat in

 

测试与×××设备通信:


wKioL1U7UnSSo3MSAAC73FvXtlc488.jpg


将客户端软件通过TFTP传送到ASA防火墙:


输入本地主机IP地址:

wKiom1U7UU2Q_NdCAADXQJS01Nw829.jpg


在GNS3上模拟需要防火墙具有保存功能:


创建名为start-config文件:

ciscoasa# copy running-config disk0:/.private/stratup-config



ciscoasa(config)# copy tftp: disk0:  //上传到disk0


Address or name of remote host [10.0.0.2]? 10.0.0.2  //源主机IP地址


Source filename [anyconnect]? sslclient-win-1.1.4.179-anyconnect.pkg   //上传的客户端软件名称


配置胖客户端SSL×××:


ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any  //指定客户端感兴趣流量

ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0   //分给客户端的IP

ciscoasa(config-if)# web***  

ciscoasa(config-web***)# enable outside  //开启web***隧道

ciscoasa(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.4.179-anyconnect.pkg  //指定客户端软件

ciscoasa(config-web***)# svc enable 

ciscoasa(config-web***)# tunnel-group-list enable   //使用户可以选择组列表

ciscoasa(config-web***)# ex

ciscoasa(config)# group-policy gpolicy internal //定义组策略为本地

ciscoasa(config)# group-policy gpolicy attributes   //定义各种属性

ciscoasa(config-group-policy)# ***-tunnel-protocol svc web***   //指定隧道类型,并开启胖客户端

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //开启隧道分离

ciscoasa(config-group-policy)# split-tunnel-network-list value 110

ciscoasa(config-group-policy)# web***

ciscoasa(config-group-web***)# svc ask enable 

ciscoasa(config)# username zhangsan password 123123

ciscoasa(config)# tunnel-group tg type web***  //定义隧道组

ciscoasa(config)# tunnel-group tg general-attributes   //定义各种属性

ciscoasa(config-tunnel-general)# address-pool vip  //调用地址池

ciscoasa(config-tunnel-general)# default-group-policy gpolicy  //调用组策略

ciscoasa(config-tunnel-general)# tunnel-group tg web***-attributes   

ciscoasa(config-tunnel-web***)# group-alias groups enable   //启用别名



使用客户端登录×××设备:


wKiom1U7XBiRyb-PAAFVvoMq-lI488.jpg


点击下载客户端:


wKioL1U7XY_wwsbAAAFHC-293Rc070.jpg


下载浏览器控件:


wKioL1U7XbqQ3shmAAGAUp7I9ro249.jpg



wKiom1U7XILwOLA0AAFaiZePGDo582.jpg


wKiom1U7XLbQfb2DAACPeHNUhgI693.jpg


wKioL1U7XmPjgcBaAAEpzoAyvy8182.jpg

×××客户端安装完成:

wKiom1U7XRaTXE9GAACni9vgRAw616.jpg


测试客户端访问公司内网服务器:


wKioL1U7Xqbw4SMwAACWvey2zY8125.jpg


实验完成