ASA防火墙SSL ×××配置

第一步：copy SVC p_w_picpaths 到ASA防火墙的flash卡中

hostname# copy tftp flash

 

第二步：指定SVC p_w_picpaths的顺序

hostname(config)# web***

hostname(config-web***)# svc p_w_picpath disk0:/anyconnect-win-2.1.0148-k9.pkg 1

hostname(config-web***)# svc p_w_picpath disk0:/anyconnect-linux-2.1.0148-k9.pkg 2

 

show web*** svc用于查看顺序

 

第三步：开启SVC功能

hostname(config)# web***

hostname(config-web***)# enable outside

hostname(config-web***)# svc enable

 

第四步：隧道分离ACL

access-list split-ssl-ops extended permit ip 172.19.0.0 255.255.0.0 any

access-list split-ssl-ops extended permit ip 192.168.250.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 192.168.30.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 192.168.41.0 255.255.255.0 any

access-list split-ssl-ops extended permit ip 172.23.0.0 255.255.0.0 any

 

第五步：允许×××拨入后能访问的内容

access-list ops-***-filter extended permit tcp any host 192.168.250.1eq ssh

 

第六步：配置不走NAT的ACL

access-list nonat-*** extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-*** extended permit ip 172.19.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-*** extended permit ip 172.23.0.0 255.255.0.0 172.19.0.0 255.255.248.0

access-list nonat-*** extended permit ip 172.24.0.0 255.255.0.0 172.19.0.0 255.255.248.0

nat (inside) 0 access-list nonat-***  //tb-ssl-***不走NAT

 

第七步：指定地址池

ip local pool ops-pool 172.19.0.1-172.19.0.255 mask 255.255.255.0

 

第八步：配置认证组

aaa-server aaa_group protocol radius

aaa-server aaa_group (inside) host 192.168.250.100  key *

 

第九 步：组策略

group-policy ops-***-policy internal               //配置组策略

group-policy ops-***-policy attributes             //配置组策略属性 

 dns-server value 172.24.102.103 172.23.30.32   //指定DNS地址，向客户端推送DNS服务器

 ***-idle-timeout 20                           //设置超时时间

 ***-filter value ops-***-filter                   //设置访问控制

 ***-tunnel-protocol svc                        //配置隧道协议

 split-tunnel-policy tunnelspecified               //建立隧道分离策略

 split-tunnel-network-list value split-ssl-ops        //配置隧道分离，相当于推送一张路由表

 

第十步：隧道组

tunnel-group ops-ssl-tunnel type remote-access   //建立 ssl ×××隧道组类型

tunnel-group ops-ssl-tunnel general-attributes    //配置 ssl ×××隧道组属性

 address-pool ops-pool                     //设置×××登入内网时分配的IP地址池

 authentication-server-group aaa_group        //配置登陆认证方式

 default-group-policy ops-***-policy           //指定默认的组策略

tunnel-group ops-ssl-tunnel web***-attributes   //配置页面属性

 group-alias ops enable

 

 

show ***-sessiondb svc可以看到目前通过SSL ×××拨入的用户信息

ASA系列5510,5520,5580的ssl ×××的license默认是100，当在线用户超过100个后新用户将不能拨入

转载于:https://blog.51cto.com/xiaochong/412337