第一步:copy SVC p_w_picpaths 到ASA防火墙的flash卡中
hostname# copy tftp flash
第二步:指定SVC p_w_picpaths的顺序
hostname(config)# web***
hostname(config-web***)# svc p_w_picpath disk0:/anyconnect-win-2.1.0148-k9.pkg 1
hostname(config-web***)# svc p_w_picpath disk0:/anyconnect-linux-2.1.0148-k9.pkg 2
show web*** svc用于查看顺序
第三步:开启SVC功能
hostname(config)# web***
hostname(config-web***)# enable outside
hostname(config-web***)# svc enable
第四步:隧道分离ACL
access-list split-ssl-ops extended permit ip 172.19.0.0 255.255.0.0 any
access-list split-ssl-ops extended permit ip 192.168.250.0 255.255.255.0 any
access-list split-ssl-ops extended permit ip 192.168.30.0 255.255.255.0 any
access-list split-ssl-ops extended permit ip 192.168.41.0 255.255.255.0 any
access-list split-ssl-ops extended permit ip 172.23.0.0 255.255.0.0 any
第五步:允许×××拨入后能访问的内容
access-list ops-***-filter extended permit tcp any host 192.168.250.1eq ssh
第六步:配置不走NAT的ACL
access-list nonat-*** extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0
access-list nonat-*** extended permit ip 172.19.0.0 255.255.0.0 172.19.0.0 255.255.248.0
access-list nonat-*** extended permit ip 172.23.0.0 255.255.0.0 172.19.0.0 255.255.248.0
access-list nonat-*** extended permit ip 172.24.0.0 255.255.0.0 172.19.0.0 255.255.248.0
nat (inside) 0 access-list nonat-*** //tb-ssl-***不走NAT
第七步:指定地址池
ip local pool ops-pool 172.19.0.1-172.19.0.255 mask 255.255.255.0
第八步:配置认证组
aaa-server aaa_group protocol radius
aaa-server aaa_group (inside) host 192.168.250.100 key *
第九 步:组策略
group-policy ops-***-policy internal //配置组策略
group-policy ops-***-policy attributes //配置组策略属性
dns-server value 172.24.102.103 172.23.30.32 //指定DNS地址,向客户端推送DNS服务器
***-idle-timeout 20 //设置超时时间
***-filter value ops-***-filter //设置访问控制
***-tunnel-protocol svc //配置隧道协议
split-tunnel-policy tunnelspecified //建立隧道分离策略
split-tunnel-network-list value split-ssl-ops //配置隧道分离,相当于推送一张路由表
第十步:隧道组
tunnel-group ops-ssl-tunnel type remote-access //建立 ssl ×××隧道组类型
tunnel-group ops-ssl-tunnel general-attributes //配置 ssl ×××隧道组属性
address-pool ops-pool //设置×××登入内网时分配的IP地址池
authentication-server-group aaa_group //配置登陆认证方式
default-group-policy ops-***-policy //指定默认的组策略
tunnel-group ops-ssl-tunnel web***-attributes //配置页面属性
group-alias ops enable
show ***-sessiondb svc可以看到目前通过SSL ×××拨入的用户信息
ASA系列5510,5520,5580的ssl ×××的license默认是100,当在线用户超过100个后新用户将不能拨入
转载于:https://blog.51cto.com/xiaochong/412337