Cisco ASA Web VPN 配置詳解

時(shí)間：2015-09-18 10:32:00 來(lái)源：無(wú)憂考網(wǎng) [字體：小中大]

在實(shí)驗(yàn)開(kāi)始這前先來(lái)談一談ASA7.X系統(tǒng)中的默認(rèn)隧道組和組策略。

ASA/PIX 7.x系統(tǒng)默認(rèn)在show run時(shí)不顯示默認(rèn)組策略和默認(rèn)隧道組，只有使用ASDM才能看到。下面列出在ASDM中看到的默認(rèn)值：

默認(rèn)IPSec-l2l隧道組: DefaultL2LGroup

默認(rèn)IPSec-ra隧道組: DefaultRAGroup

默認(rèn)WebVPN隧道組: DefaultWEBVPNGroup

默認(rèn)組策略: DfltGrpPolicy

默認(rèn)組策略的默認(rèn)隧道協(xié)議: IPSec-l2l

可以在命令行中直接對(duì)以上隧道組和組策略進(jìn)行編輯，ASA在加載WebVPN時(shí)默認(rèn)采用DefaultWEBVPNGroup，用戶自定義的WebVPN組必須在啟動(dòng) “tunnel-group-list”和“group-alias” 后才會(huì)出現(xiàn)。

在下面的例子中，我沒(méi)有使用ASA的默認(rèn)隧道組，所以會(huì)有tunel-group-list和group-alias配置出現(xiàn)。

1、WebVPN服務(wù)基本配置。

Archasa(config)# int e0/0

Archasa(config-if)# ip address 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

Archasa(config-if)# no shut

Archasa(config-if)# exit!

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

Archasa(config-if)# no sh

Archasa(config-if)# exit

Archasa(config)# web*

Archasa(config-web*)# enable outside

#在外網(wǎng)接口上啟動(dòng)WebVPN!

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#此處需要選擇組策略的類型，因?yàn)槲覀兪菍⒉呗耘渲迷贏SA本地的，所以選擇Internal。

Archasa(config)# group-policy myweb*-group-policy internal

#創(chuàng)建了一個(gè)名為myweb*-group-policy的Internal類型Policy。

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

attributes Enter the attributes sub-command mode

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#組策略一旦創(chuàng)建，命令行參數(shù)中就會(huì)多出attributes選項(xiàng)，這是用于后面定義具體的組策略用的，目前可以保留為空。

Archasa(config)# username test password woaicisco

#創(chuàng)建一個(gè)本地用戶

Archasa(config)# username test attributes

Archasa(config-username)# *-group-policy myweb*-group-policy

#將用戶加入剛才創(chuàng)建的VPN策略組中

注意：ASA也支持為每用戶定義單獨(dú)的策略，即不用將用戶加入特定的VPN策略組，直接賦予權(quán)限。

注意：不過(guò)這是不推薦的，因?yàn)檫@樣配置的可擴(kuò)展性太差。

Archasa(config)# tunnel-group myweb*-group type web*

#創(chuàng)建一個(gè)名為myweb*-group的web*隧道組。

Archasa(config)# tunnel-group myweb*-group general-attributes

Archasa(config-tunnel-general)# authentication-server-group LOCAL

#定義該隧道組用戶使用的認(rèn)證服務(wù)器，這里為本地認(rèn)證

Archasa(config)# web*

Archasa(config-web*)# tunnel-group-list enable

#啟動(dòng)組列表，讓用戶在登陸的時(shí)候可以選擇使用哪個(gè)組進(jìn)行登陸

Archasa(config)# tunnel-group myweb*-group web*-attributes

Archasa(config-tunnel-web*)# group-alias group1 enable

#為改組定義別名，用于顯示給用戶進(jìn)行選擇。

#到此為止，WebVPN基本配置完畢，可以開(kāi)始讓外網(wǎng)用戶使用瀏覽器測(cè)試了。

WebVPN擴(kuò)展功能

在實(shí)現(xiàn)WebVPN的基本功能以后，我們來(lái)看看WebVPN的擴(kuò)展功能。主要包含以下三部分：

1、文件服務(wù)器瀏覽

2、自定義url-list

3、port-forward

1、文件服務(wù)器瀏覽

File-access功能可以讓W(xué)ebVPN用戶使用windows共享來(lái)訪問(wèn)內(nèi)網(wǎng)的Windows文件服務(wù)器。

用戶要使用File-access功能，必須具備file-access file-entry file-browsing權(quán)限。

注意：用戶默認(rèn)具備url-entry權(quán)限，即可以用url訪問(wèn)內(nèi)網(wǎng)的web網(wǎng)頁(yè)。

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing

輸入\172.20.59.11以后可以訪問(wèn)到內(nèi)網(wǎng)的共享資源。2、自定義url-list

Archasa(config)# url-list mylist "Test Home Page" http://172.20.59.12

Archasa(config)# url-list mylist "Test Site 2" http:// 172.20.59.12

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-web*)# url-list value mylist

3、自定義port-forward

port-forward可以讓W(xué)ebVPN用戶在外網(wǎng)通過(guò)WebVPN使用內(nèi)網(wǎng)的非HTTP服務(wù)。

Archasa(config)# port-forward port-forward-list 2323 192.20.59.11 23

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing port-forward

Archasa(config-group-web*)# port-forward value port-forward-list

經(jīng)過(guò)上面的配置以后，WebVPN用戶加載WebVPN提供的JAVA App，就可以通過(guò)telnet到自身的2323端口登陸到內(nèi)網(wǎng)服務(wù)器的23端口。

=思科試題推薦=

查看Cisco認(rèn)證全部真題>>

=思科文檔推薦=

Cisco ASA Web VPN 配置.docx

立即下載Word高清文檔，方便收藏和打�。�2442字）

編輯推薦：

下載Word文檔

思科熱點(diǎn)文章排行榜

国产18禁黄网站免费观看,99爱在线精品免费观看,粉嫩metart人体欣赏,99久久99精品久久久久久,6080亚洲人久久精品

Cisco ASA Web VPN 配置詳解