基于ASA防火牆的SSL ×××配置
實驗拓撲圖
實驗目的,PC2通過SSL×××能夠通路到PC1
SSL×××服務端配置全在ASA上面,下面為配置步驟:
第一步:建立RSA密鑰證書,名稱為sslvpnkeypair
crypto key generate rsa label sslvpnkeypair
第二步:建立自我信任點CA,名稱為localtrust。加載RSA密鑰證書
crypto ca trustpoint localtrust
enrollment self
fqdn sslvpn.luotao.com
subject-name CN=sslvpn.luotao.com
keypair sslvpnkeypair
crypto ca enroll localtrust noconfirm
exit
第三步:将CA信任點localtrust應用到OUTSIDE口
ssl trust-point localtrust outside
第四步:将用戶端上傳到ASA并安裝,開啟SVC在outside口。
copy tftp disk0:
webvpn
svc p_w_picpath disk0:/sslclient.pkg 1
svc outside
svc enable
第五步:建立clientpool,給用戶端配置設定IP
ip local pool sslclientpool 10.10.10.10-10.10.10.50 mask 255.255.255.0
第六步:建立組政策名為sslclientpolicy,設定類型;組政策屬性包括設定DNS,指定隧道協定SVC,設定域名,加載用戶端pool
group-policy sslclientpolicy internal
group-policy sslclientpolicy attributes
dns-server value 202.96.134.133
vpn-tunnel-protocol svc
default-domain value luotao.com
address-pools value sslclientpool
第七步:設計通路清單旁路,×××流量不受outside口ACL限制。
sysopt connection permit-vpn
第八步:建立tunnel-group隧道組sslclientprofile,組屬性包括加載組政策sslclientpolicy,以及設定登陸時看到的組名稱sslvpnclient
tunnel-group sslclientprofile type remote-access
tunnel-group sslclientprofile general-attributes
default-group-policy sslclientpolicy
tunnel-group sslclientprofile webvpn-attributes
group-alias sslvpnclient enable
第九步:開啟tunnel-group清單功能,開啟則在SSL用戶端顯示GROUP名稱,否則不顯示。
webvpn
tunnel-group-list enable
第十步:配置NAT免除,不讓SSL×××的流量經過NAT
access-list nat0 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
nat (inside) 0 access-list nat0
第十一步:建立本地使用者,供SSLCLIENT登陸時使用。
username cisco password cisco
username cisco attributes
service-type remote-access
第十二步:配置隧道分離,用ACL比對流量,應用到組政策中。作用是在通路SSL×××的同時,還可以通路internet與其它網絡。
access-list splitssltunnel standard permit 192.168.1.0 255.255.255.0
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splitssltunnel
第十三步:儲存配置
save
在PC2上輸入 https://1.1.1.1 按照步驟配置用戶端
用戶端狀态
隧道分離
測試:
ping 192.168.1.2 OK
通路PC1上的FTP OK