科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道实现思科ASA远程访问的八步技巧

实现思科ASA远程访问的八步技巧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

你是否需要快速地设置用户的远程访问呢?配置远程访问可能是一件令人困惑的过程。不过,只要遵循以下的操作指南就可以事半功倍。

来源:中国IT实验室 2009年4月1日

关键字: 思科 远程访问 ASA

  • 评论
  • 分享微博
  • 分享邮件

  你是否需要快速地设置用户的远程访问呢?配置远程访问可能是一件令人困惑的过程。不过,只要遵循以下的操作指南就可以事半功倍。

  对于Cisco ASA的用户来说,要设置远程访问只需要简单的八步,下面开始:

  步骤一:配置一个身份证书

  在这里,笔者要创建一个一般的名为sslvpnkey的身份证书,并将此证书应用给“外部”接口。用户可以购买厂商的证书。下面是操作步骤:

  corpasa(config)#crypto key generate rsa label sslvpnkey

  corpasa(config)#crypto ca trustpoint localtrust

  corpasa(config-ca-trustpoint)#enrollment self

  corpasa(config-ca-trustpoint)#fqdn sslvpn. mycompany.com

  corpasa(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com

  corpasa(config-ca-trustpoint)#keypair sslvpnkey

  corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

  corpasa(config)# ssl trust-point localtrust outside

  步骤二:将SSL VPN客户端映象上传到ASA

  用户可以从思科的网站(cisco.com0获得客户端映象。在选择要下载哪个映象给TFTP服务器时,记住你需要为用户所使用的每种操作系统下载单独的映象。在选择并下载客户端软件后,就可以将其TFTP到ASA。

  corpasa(config)#copy tftp://192.168.81.50/anyconnect-win-2.0.0343-k9.pkg flash

  在将文件上传到ASA之后,配置一下这个文件,使其可用作Web VPN会话.注意,如果你有多个客户端,就应当配置最常用的客户,使其拥有最高的优先权。在本文中,我们将仅使用一个客户端并为其设置优先权为1:

  corpasa(config)#webvpn

  corpasa(config-webvpn)#svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1

  步骤三:启用AnyConnect VPN访问

  corpasa(config)#webvpn

  corpasa(config-webvpn)#enable outside

  corpasa(config-webvpn)#svc enable

  步骤四:创建组策略

  组策略用于指定应用于所连接客户端的参数。在本文中,我们将创建一个称之为SSLClient的组策略。远程访问客户端需要在登录期间分配一个IP地址,所以我们还需要为这些客户端建立一个DHCP地址池,不过如果你有DHCP服务器,还可以使用DHCP服务器。

  corpasa(config)#ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0

  corpasa(config)#group-policy SSLCLient internal

  corpasa(config)#group-policy SSLCLient attributes

  corpasa(config-group-policy)#dns-server value 192.168.200.5

  corpasa(config-group-policy)#vpn-tunnel-protocol svc

  corpasa(config-group-policy)#default-domain value mysite.com

  corpasa(config-group-policy)#address-pools value SSLClientPool

  步骤五:配置访问列表旁路

  通过使用sysopt connect命令,我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表:

  corpasa(config)#sysopt connection permit-vpn

  步骤六:创建连接配置文件和隧道组

  在远程访问客户端连接到ASA时,也就连接到了connection profile连接配置文件,也称为隧道组。我们将用这个隧道组来定义其使用的特定连接参数。在本文中,我们将配置这些远程访问客户端使用Cisco AnyConnect SSL客户端,不过,你还可以配置隧道组使用IPsec、L2L等。

  首先,创建隧道组SSL 客户端:

  corpasa(config)#tunnel-group SSLClient type remote-access

  下一步,分配特定的属性:

  corpasa(config)#tunnel-group SSLClient general-attributes

  corpasa(config-tunnel-general)#default-group-policy SSLCLient

  corpasa(config-tunnel-general)#tunnel-group SSLClient webvpn-attributes

  corpasa(config-tunnel-webvpn)#group-alias MY_RA enable

  corpasa(config-tunnel-webvpn)#webvpn

  corpasa(config-webvpn)#tunnel-group-list enable

  注意,别名“MY_RA”就是你的用户们在得到提示进行登录认证时看到的组。

  步骤七:配置NAT免除

  现在,我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先,我们要创建一个可定义通信的访问列表,然后,我们将此列表用于接口的NAT语句:

  corpasa(config)#access-list no_nat extended permit

  ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

  corpasa(config)#nat (inside) 0 access-list no_nat

  步骤八:配置用户账户

  现在我们已经为配置用户账户做好了准备。在此,我们要创建一个用户并且将此用户指派给我们的远程访问VPN:

  corpasa(config)#username hyde password l3tm3in

  corpasa(config)#username hyde attributes

  corpasa(config-username)#service-type remote-access

  完成任务

  不要忘记将你的配置保存到存储器中:

  corpasa#write memory

  还要建立一个远程访问会话来验证你的配置,并使用下面的show命令来查看会话的细节:

  corpasa #show vpn-sessiondb svc

  但愿本文可帮助你实现远程用户的访问和运行。如果你碰到了困难,不妨运行debug webvpn命令来诊断问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章