天天看點
傳回

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

實驗目的:

使用者在沒有用戶端的情況下,利用浏覽器進行×××的接入。用戶端接入後,ASA自動生成一條靜态路由指向用戶端。ASA的disk0中必須有用戶端軟體

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

拓撲圖:

實驗配置:

ASA配置:

ciscoasa# sh run

interface Ethernet0/0

 nameif inside

 security-level 100

 ip address 10.10.10.1 255.255.255.0 

!

interface Ethernet0/1

 nameif outside

 security-level 0

 ip address 100.1.1.1 255.255.255.0 

!

隧道分離的流量(需要client通路的流量都要permit):

access-list split extended permit ip 10.10.10.0 255.255.255.0 10.10.11.0 255.255.255.0 

不進行NAT轉換的流量:

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 any 

ip local pool test 10.10.11.10-10.10.11.20            //配置設定給cilent的位址池

global (outside) 1 interface                 //啟用PAT

nat (inside) 0 access-list nonat

nat (inside) 1 0.0.0.0 0.0.0.0

Web***                            //設定web***屬性

 enable outside

 svc p_w_picpath disk0:/anyconnect-win-2.5.0217-k9.pkg 1

 svc enable

 tunnel-group-list enable

group-policy mypolicy internal                  //設定組政策

group-policy mypolicy attributes

 ***-tunnel-protocol svc                       //協定也可以是web***

 split-tunnel-policy tunnelspecified                //隧道分離

 split-tunnel-network-list value split

 default-domain value gezi.com

 address-pools value test

username xiaomeng password KQ0c1Ql7yB6uQTZX encrypted      //添加接入的使用者

username xiaomeng attributes

 ***-group-policy mypolicy

tunnel-group meng type remote-access          //定義通道組和屬性

tunnel-group meng general-attributes

 default-group-policy mypolicy

tunnel-group meng web***-attributes

 group-alias gezi enable

實驗驗證:

ciscoasa# sh route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

       * - candidate default, U - per-user static route, o - ODR

       P - periodic downloaded static route

Gateway of last resort is not set

C    100.1.1.0 255.255.255.0 is directly connected, outside

S    10.10.11.10 255.255.255.255 [1/0] via 100.1.1.100, outside

C    10.10.10.0 255.255.255.0 is directly connected, inside

連接配接建立過程:

1、用戶端在浏覽器位址輸入:https://100.1.1.1

2、添加授權證書

3、輸入使用者名密碼,選擇group_alies并登陸

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

4、安裝用戶端插件

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

5、導入證書,連接配接建立

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

用戶端與ASA建立SSL×××之後就可以和公司内網通信。

測試FTP服務:

在IE浏覽器中輸入ftp://10.10.10.10,可以成功通路ftp伺服器。

SSL***_over_asa實驗目的: 實驗配置:實驗驗證:連接配接建立過程:

總結:

SSL***有三種情況

anyconnect用戶端:就是借助于浏覽器下載下傳client并安裝,連接配接後浏覽器可以關閉,借助于用戶端通路server。關閉SSL***之後不會解除安裝client用戶端軟體。

瘦用戶端:借助于浏覽器通路,類似于anyconnect方式,但是關閉SSL***連接配接後,client用戶端軟體會自動解除安裝。

Clientless,顧名思義就是沒有用戶端,隻能借助于浏覽器通路,使用者可以進行的操作就僅限于郵件服務、FTP服務、WEB服務,是以clientless的局限性較大,是以anyconnect應用較多。

轉載于:https://blog.51cto.com/xiaomeng/782830

上一篇: SSL ××× over ASA
下一篇: #每天打卡背單詞##頭條創作挑戰賽#Pentagonannouncedthearrivalof200USsoldiers