ASA支持三种SSL(安全套接层)VPN类型
- 无客户端:远程客户通过启用SSL的浏览器访问
- 瘦客户端:远程客户需要安装一个基于JAVA的小程序,可以访问基于TCP的内部资源
- 完全隧道:远程客户需要安装Cisco AnyConnect Secure Mobility,使用完全隧道客户端模式时,远程主机会发送全部IP单播流量
其次,ASA设备提供了2个用户的免费授权
如果搭建完全隧道,需要保证以下三点:
- ASA部署:放行SSLVPN端口,尽量靠近Internet出口
- 用户账户:需要向本地数据库或者外部认证服务器认证
- 客户管理员权限:anyconnect客户端需要本地工作站的管理员权限
拓扑环境:
PNET
ASA:asav-992-100
client:桥接网卡,IP10.10.0.2
操作步骤:
ASA
1.注册数字证书
略,之后会单开博客写注册证书。
2.建立隧道和组策略
2.1配置组策略
ciscoasa(config)# ip local pool SSLPOOL 172.16.100.1-172.16.100.10 mask 255.255.255.0
创建客户端地址池
ciscoasa(config)# group-policy SSLVPN internal #创建组策略
ciscoasa(config)# group-policy SSLVPN attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-client #隧道用于SSL
ciscoasa(config-group-policy)# address-pools value SSLPOOL #调用地址池
2.2配置隧道组
ciscoasa(config)# tunnel-group SSLVPNTP type remote-access
ciscoasa(config)# tunnel-group SSLVPNTP general-attributes
ciscoasa(config-tunnel-general)# default-group-policy SSLVPN #将组策略添加到隧道组
3.设置用户认证
ciscoasa(config)# username test1 password 123.com
使用本地认证,RADIUS认证则另起博客讲解
4.配置Cisco AnyConnect Secure Mobility客户端
有两种方式在用户计算机上安装客户端
- web-enabled mode(web模式):打开浏览器下载客户端
- standalone mode(独立模式):从文件服务器或Cisco.com
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside #在外部接口启用SSLciscoasa(config-webvpn)# anyconnect image flash:/anyconnect.pkg
ciscoasa(config-webvpn)# anyconnect enableciscoasa(config-webvpn)# tunnel-group-list enable
ciscoasa(config)# tunnel-group SSLVPNTP webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-alias SSLVPNTP enable
客户端首先测试是否能连通ASA外部接口地址
输入ASA外部接口地址,因为没有配置SSL证书所以会警告
输入之前准备好的账户名和密码
点击Download for Windows,下载客户端
下载运行安装程序
安装完毕
点击齿轮图标,Preferences取消勾选最后一条,因为没配置SSL证书所以不信任
输入FW外部接口地址,Connect
选择Connect Anyway,然后输入账户名和密码
连接成功
客户端获得新地址