SSL***_over_asa

实验目的：

用户在没有客户端的情况下，利用浏览器进行×××的接入。客户端接入后，ASA自动生成一条静态路由指向客户端。ASA的disk0中必须有客户端软件

拓扑图：

实验配置：

ASA配置：

ciscoasa# sh run

interface Ethernet0/0

 nameif inside

 security-level 100

 ip address 10.10.10.1 255.255.255.0 

!

interface Ethernet0/1

 nameif outside

 security-level 0

 ip address 100.1.1.1 255.255.255.0 

!

隧道分离的流量（需要client访问的流量都要permit）：

access-list split extended permit ip 10.10.10.0 255.255.255.0 10.10.11.0 255.255.255.0 

不进行NAT转换的流量：

access-list nonat extended permit ip 10.10.10.0 255.255.255.0 any 

ip local pool test 10.10.11.10-10.10.11.20            //分配给cilent的地址池

global (outside) 1 interface                 //启用PAT

nat (inside) 0 access-list nonat

nat (inside) 1 0.0.0.0 0.0.0.0

Web***                            //设置web***属性

 enable outside

 svc p_w_picpath disk0:/anyconnect-win-2.5.0217-k9.pkg 1

 svc enable

 tunnel-group-list enable

group-policy mypolicy internal                  //设置组策略

group-policy mypolicy attributes

 ***-tunnel-protocol svc                       //协议也可以是web***

 split-tunnel-policy tunnelspecified                //隧道分离

 split-tunnel-network-list value split

 default-domain value gezi.com

 address-pools value test

username xiaomeng password KQ0c1Ql7yB6uQTZX encrypted      //添加接入的用户

username xiaomeng attributes

 ***-group-policy mypolicy

tunnel-group meng type remote-access          //定义通道组和属性

tunnel-group meng general-attributes

 default-group-policy mypolicy

tunnel-group meng web***-attributes

 group-alias gezi enable

实验验证：

ciscoasa# sh route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

       * - candidate default, U - per-user static route, o - ODR

       P - periodic downloaded static route

Gateway of last resort is not set

C    100.1.1.0 255.255.255.0 is directly connected, outside

S    10.10.11.10 255.255.255.255 [1/0] via 100.1.1.100, outside

C    10.10.10.0 255.255.255.0 is directly connected, inside

连接建立过程：

1、客户端在浏览器地址输入：https://100.1.1.1

2、添加授权证书

3、输入用户名密码，选择group_alies并登陆

4、安装客户端插件

5、导入证书，连接建立

客户端与ASA建立SSL×××之后就可以和公司内网通信。

测试FTP服务：

在IE浏览器中输入ftp://10.10.10.10，可以成功访问ftp服务器。

总结：

SSL***有三种情况

anyconnect客户端：就是借助于浏览器下载client并安装，连接后浏览器可以关闭，借助于客户端访问server。关闭SSL***之后不会卸载client客户端软件。

瘦客户端：借助于浏览器访问，类似于anyconnect方式，但是关闭SSL***连接后，client客户端软件会自动卸载。

Clientless，顾名思义就是没有客户端，只能借助于浏览器访问，用户可以进行的操作就仅限于邮件服务、FTP服务、WEB服务，所以clientless的局限性较大，所以anyconnect应用较多。

转载于:https://blog.51cto.com/xiaomeng/782830