防火墙上实现胖客户端SSLVPN
实验
实验拓扑图:
实验步骤:
各设备IP地址规划:
R2(config)#int f0/1
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no shut
R2(config-if)#int f0/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no shut
R3(config)#int f0/0
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no shut
R3(config-if)#int f0/1
R3(config-if)#ip add 192.168.10.1 255.255.255.0
R3(config-if)#no shut
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside
配置默认路由:
ciscoasa(config)# ip route 0 0 100.0.0.2
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
配置NAT:
R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)#ip nat inside source list 1 in f0/0 overload
R3(config)#int f0/0
R3(config-if)#ip nat out
R3(config-if)#int f0/1
R3(config-if)#ip nat in
测试与VPN设备通信:
将客户端软件通过TFTP传送到ASA防火墙:
输入本地主机IP地址:
在GNS3上模拟需要防火墙具有保存功能:
创建名为start-config文件:
ciscoasa# copy running-config disk0:/.private/stratup-config
ciscoasa(config)# copy tftp: disk0: //上传到disk0
Address or name of remote host [10.0.0.2]? 10.0.0.2 //源主机IP地址
Source filename [anyconnect]? sslclient-win-1.1.4.179-anyconnect.pkg //上传的客户端软件名称
配置胖客户端SSLVPN:
ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any //指定客户端感兴趣流量
ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0 //分给客户端的IP
ciscoasa(config-if)# webvpn
ciscoasa(config-webvpn)# enable outside //开启webvpn隧道
ciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg //指定客户端软件
ciscoasa(config-webvpn)# svc enable
ciscoasa(config-webvpn)# tunnel-group-list enable //使用户可以选择组列表
ciscoasa(config-webvpn)# ex
ciscoasa(config)# group-policy gpolicy internal //定义组策略为本地
ciscoasa(config)# group-policy gpolicy attributes //定义各种属性
ciscoasa(config-group-policy)# vpn-tunnel-protocol svc webvpn //指定隧道类型,并开启胖客户端
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //开启隧道分离
ciscoasa(config-group-policy)# split-tunnel-network-list value 110
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# svc ask enable
ciscoasa(config)# username zhangsan password 123123
ciscoasa(config)# tunnel-group tg type webvpn //定义隧道组
ciscoasa(config)# tunnel-group tg general-attributes //定义各种属性
ciscoasa(config-tunnel-general)# address-pool vip //调用地址池
ciscoasa(config-tunnel-general)# default-group-policy gpolicy //调用组策略
ciscoasa(config-tunnel-general)# tunnel-group tg webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-alias groups enable //启用别名
使用客户端登录VPN设备:
点击下载客户端:
下载浏览器控件:
VPN客户端安装完成:
测试客户端访问公司内网服务器:
实验完成
本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1638337
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
