實驗目的:
使用者在沒有用戶端的情況下,利用浏覽器進行×××的接入。用戶端接入後,ASA自動生成一條靜态路由指向用戶端。ASA的disk0中必須有用戶端軟體
拓撲圖:
實驗配置:
ASA配置:
ciscoasa# sh run
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
!
隧道分離的流量(需要client通路的流量都要permit):
access-list split extended permit ip 10.10.10.0 255.255.255.0 10.10.11.0 255.255.255.0
不進行NAT轉換的流量:
access-list nonat extended permit ip 10.10.10.0 255.255.255.0 any
ip local pool test 10.10.11.10-10.10.11.20 //配置設定給cilent的位址池
global (outside) 1 interface //啟用PAT
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
Web*** //設定web***屬性
enable outside
svc p_w_picpath disk0:/anyconnect-win-2.5.0217-k9.pkg 1
svc enable
tunnel-group-list enable
group-policy mypolicy internal //設定組政策
group-policy mypolicy attributes
***-tunnel-protocol svc //協定也可以是web***
split-tunnel-policy tunnelspecified //隧道分離
split-tunnel-network-list value split
default-domain value gezi.com
address-pools value test
username xiaomeng password KQ0c1Ql7yB6uQTZX encrypted //添加接入的使用者
username xiaomeng attributes
***-group-policy mypolicy
tunnel-group meng type remote-access //定義通道組和屬性
tunnel-group meng general-attributes
default-group-policy mypolicy
tunnel-group meng web***-attributes
group-alias gezi enable
實驗驗證:
ciscoasa# sh route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
C 100.1.1.0 255.255.255.0 is directly connected, outside
S 10.10.11.10 255.255.255.255 [1/0] via 100.1.1.100, outside
C 10.10.10.0 255.255.255.0 is directly connected, inside
連接配接建立過程:
1、用戶端在浏覽器位址輸入:https://100.1.1.1
2、添加授權證書
3、輸入使用者名密碼,選擇group_alies并登陸
4、安裝用戶端插件
5、導入證書,連接配接建立
用戶端與ASA建立SSL×××之後就可以和公司内網通信。
測試FTP服務:
在IE浏覽器中輸入ftp://10.10.10.10,可以成功通路ftp伺服器。
總結:
SSL***有三種情況
anyconnect用戶端:就是借助于浏覽器下載下傳client并安裝,連接配接後浏覽器可以關閉,借助于用戶端通路server。關閉SSL***之後不會解除安裝client用戶端軟體。
瘦用戶端:借助于浏覽器通路,類似于anyconnect方式,但是關閉SSL***連接配接後,client用戶端軟體會自動解除安裝。
Clientless,顧名思義就是沒有用戶端,隻能借助于浏覽器通路,使用者可以進行的操作就僅限于郵件服務、FTP服務、WEB服務,是以clientless的局限性較大,是以anyconnect應用較多。
轉載于:https://blog.51cto.com/xiaomeng/782830