登录站点

用户名

密码

Cisco ASA Web VPN 配置详解

11已有 9577 次阅读  2013-12-21 19:24   标签Cisco 

实验环境如拓朴图,这里只做了WEB VPN的实验。

 Cisco ASA Web VPN 配置详解 - amsun - amSUN

在实验开始这前先来谈一谈ASA7.X系统中的默认隧道组和组策略。

ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。下面列出在ASDM中看到的默认值:

默认IPSec-l2l隧道组: DefaultL2LGroup

默认IPSec-ra隧道组: DefaultRAGroup

默认WebVPN隧道组: DefaultWEBVPNGroup

默认组策略: DfltGrpPolicy

默认组策略的默认隧道协议: IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载WebVPN时默认采用DefaultWEBVPNGroup,用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。

1、WebVPN服务基本配置。

Archasa(config)# int e0/0

Archasa(config-if)# ip address 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

Archasa(config-if)# no shut

Archasa(config-if)# exit!

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

Archasa(config-if)# no sh

Archasa(config-if)# exit

Archasa(config)# webvpn

Archasa(config-webvpn)# enable outside

#在外网接口上启动WebVPN!

Archasa(config)# group-policy mywebvpn-group-policy ?

configure mode commands/options:

  external  Enter this keyword to specify an external group policy

  internal  Enter this keyword to specify an internal group policy

#此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。

Archasa(config)# group-policy mywebvpn-group-policy internal

#创建了一个名为mywebvpn-group-policy的Internal类型Policy。

Archasa(config)# group-policy mywebvpn-group-policy ?      

configure mode commands/options:

  attributes  Enter the attributes sub-command mode

  external    Enter this keyword to specify an external group policy

  internal    Enter this keyword to specify an internal group policy

#组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。

Archasa(config)# username test password woaicisco

#创建一个本地用户

Archasa(config)# username test attributes

Archasa(config-username)# vpn-group-policy mywebvpn-group-policy

#将用户加入刚才创建的VPN策略组中

注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的VPN策略组,直接赋予权限。

注意:不过这是不推荐的,因为这样配置的可扩展性太差。

Archasa(config)# tunnel-group mywebvpn-group type webvpn

#创建一个名为mywebvpn-group的webvpn隧道组。

Archasa(config)# tunnel-group mywebvpn-group general-attributes

Archasa(config-tunnel-general)# authentication-server-group LOCAL

#定义该隧道组用户使用的认证服务器,这里为本地认证

Archasa(config)# webvpn

Archasa(config-webvpn)# tunnel-group-list enable

#启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆

Archasa(config)# tunnel-group mywebvpn-group webvpn-attributes

Archasa(config-tunnel-webvpn)# group-alias group1 enable

#为改组定义别名,用于显示给用户进行选择。

#到此为止,WebVPN基本配置完毕,可以开始让外网用户使用浏览器测试了。

WebVPN扩展功能

在实现WebVPN的基本功能以后,我们来看看WebVPN的扩展功能。主要包含以下三部分:

1、文件服务器浏览

2、自定义url-list

3、port-forward

1、文件服务器浏览

File-access功能可以让WebVPN用户使用windows共享来访问内网的Windows文件服务器。

用户要使用File-access功能,必须具备file-access file-entry file-browsing权限。

注意:用户默认具备url-entry权限,即可以用url访问内网的web网页。

Archasa(config)# group-policy mywebvpn-group-policy attributes

Archasa(config-group-policy)# webvpn

Archasa(config-group-webvpn)# functions url-entry file-access file-entry file-browsing

输入\172.20.59.11以后可以访问到内网的共享资源。2、自定义url-list

Archasa(config)# url-list mylist "Test Home Page" http://172.20.59.12

Archasa(config)# url-list mylist "Test Site 2" http:// 172.20.59.12

Archasa(config)# group-policy mywebvpn-group-policy attributes

Archasa(config-group-webvpn)# url-list value mylist

3、自定义port-forward

port-forward可以让WebVPN用户在外网通过WebVPN使用内网的非HTTP服务。

Archasa(config)# port-forward port-forward-list 2323 192.20.59.11 23

Archasa(config)# group-policy mywebvpn-group-policy attributes

Archasa(config-group-policy)# webvpn

Archasa(config-group-webvpn)# functions url-entry file-access file-entry file-browsing port-forward

Archasa(config-group-webvpn)# port-forward value port-forward-list

经过上面的配置以后,WebVPN用户加载WebVPN提供的JAVA App,就可以通过telnet到自身的2323端口登陆到内网服务器的23端口。

分享 举报