防火墙上实现无客户端SSLVPN
实验
实验拓扑图:
实验步骤:
各设备IP地址规划:
R2(config)#int f0/1
R2(config-if)#ip add 100.0.0.2 255.255.255.252
R2(config-if)#no shut
R2(config-if)#int f0/0
R2(config-if)#ip add 200.0.0.2 255.255.255.252
R2(config-if)#no shut
R3(config)#int f0/1
R3(config-if)#ip add 200.0.0.1 255.255.255.252
R3(config-if)#no shut
R3(config-if)#int f0/0
R3(config-if)#ip add 192.168.10.1 255.255.255.0
R3(config-if)#no shut
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# int e0/0
ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
配置默认路由:
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2
ciscoasa(config)# route outside 0 0 100.0.0.2
NAT的配置:
R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)#ip nat inside source list 1 in f0/1 overload
R3(config)#int f0/1
R3(config-if)#ip nat out
R3(config-if)#int f0/0
R3(config-if)#ip nat in
测试客户端pingVPN设备:
在ASA上配置无客户端的SSLVPN:
ciscoasa(config)# webvpn //启用webvpn功能
ciscoasa(config-webvpn)# enable outside //调用在外部接口
ciscoasa(config-webvpn)# ex
ciscoasa(config)# username zhangsan password 123123 //配置用户名和密码
ciscoasa(config)# group-policy gpolicy internal //组策略定义在本地
ciscoasa(config)# group-policy gpolicy attributes //定义组策略属性
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn 定义隧道协议为webvpn
ciscoasa(config-group-policy)# ex
ciscoasa(config)# tunnel-group tg type webvpn //定义SSLVPN隧道
ciscoasa(config)# tunnel-group tg general-attributes //定义隧道一般属性
ciscoasa(config-tunnel-general)# default-group-policy gpolicy //调用之前定义的gpolicy组策略
ciscoasa(config-tunnel-general)# authentication-server-group local //验证方式为本地验证
ciscoasa(config-tunnel-general)# ex
ciscoasa(config)# tunnel-group tg webvpn-attributes 定义隧道webvpn属性
ciscoasa(config-tunnel-webvpn)# group-alias groups enable //为隧道起别名为groups
ciscoasa(config-tunnel-webvpn)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable //启用隧道组列表
使用IE浏览器访问公司WEB服务器:
首先登录到VPN设备:
输入需要访问的WEB服务器地址:
实验完成
本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1638303
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。