防火墙上实现无客户端SSLVPN

实验


实验拓扑图:

技术分享


实验步骤:


各设备IP地址规划:

 

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

 

R3(config)#int f0/1

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/0

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

 

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

 

配置默认路由:

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

 

ciscoasa(config)# route outside 0 0 100.0.0.2

 

NAT的配置:

 

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/1 overload 

R3(config)#int f0/1

R3(config-if)#ip nat out

R3(config-if)#int f0/0

R3(config-if)#ip nat in

 

测试客户端pingVPN设备:

技术分享


ASA上配置无客户端的SSLVPN:

ciscoasa(config)# webvpn   //启用webvpn功能

ciscoasa(config-webvpn)# enable outside  //调用在外部接口

ciscoasa(config-webvpn)# ex

ciscoasa(config)# username zhangsan password 123123   //配置用户名和密码

ciscoasa(config)# group-policy gpolicy internal   //组策略定义在本地

ciscoasa(config)# group-policy gpolicy attributes    //定义组策略属性

ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn  定义隧道协议为webvpn

ciscoasa(config-group-policy)# ex

ciscoasa(config)# tunnel-group tg type webvpn  //定义SSLVPN隧道

ciscoasa(config)# tunnel-group tg general-attributes   //定义隧道一般属性

ciscoasa(config-tunnel-general)# default-group-policy gpolicy   //调用之前定义的gpolicy组策略

ciscoasa(config-tunnel-general)# authentication-server-group local  //验证方式为本地验证

ciscoasa(config-tunnel-general)# ex

ciscoasa(config)# tunnel-group tg webvpn-attributes 定义隧道webvpn属性

ciscoasa(config-tunnel-webvpn)# group-alias groups enable  //为隧道起别名为groups

ciscoasa(config-tunnel-webvpn)# webvpn

ciscoasa(config-webvpn)# tunnel-group-list enable //启用隧道组列表

 

使用IE浏览器访问公司WEB服务器:

 

首先登录到VPN设备:

技术分享



输入需要访问的WEB服务器地址:


技术分享



技术分享


实验完成

本文出自 “共同努力,共同进步~~” 博客,请务必保留此出处http://9067358.blog.51cto.com/9057358/1638303

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。