基于思科ASA的无客户端SSL VPN正确设置指南

ZDNet网络频道原创翻译 转载请注明作者以及出处

在本文中，Lori Hyde将告诉大家，怎样在限制严格的环境下为远程用户建立可以访问内部资源的无客户端SSL VPN，并进行初步设置和相关配置。
--------------------------------------------------------------------------------------------

　　无客户端SSL VPN有其自身的优缺点。根据我的使用感受，它与采用了VPN客户端的远程访问方式相比设置起来更复杂，个性化程度也高了不少。但是，请保持耐心，很快，你就会发现，实际上它使用起来也是相当地灵活，可以为用户在限制严格的环境下提供一种不需要安装客户端获取所需内部资源的方法。

　　本文将分为两个部分，在第一部分，我们将对最初的设置进行说明，而在第二部分，我们会对远程用户界面个性化设置进行详细介绍。

　　请务必记住，基于SSL协议的VPN远程接入解决方案也存在一定的限制，在基于SSL协议的无客户端会话中，思科ASA会被当作远程用户和内部资源之间的代理。在获取资源的时间，ASA会建立安全连接并验证服务器SSL证书的有效性。在这个过程中，最终用户不可能见到证书的。ASA将拒绝来自使用无效证书站点的信息。

　　一如往常，思科在官方网站上提供了更详细的信息和配置的具体要求。

　　在下面的例子中，我将建立一个无客户端SSL VPN基本连接。并将会对使用的大部分命令进行说明，还会给出在ASA管理器中采用的等效操作方式。

　　1. 配置身份证书

　　在这里，我创建了一个基于普通用途、自签名身份证书，并且命名为sslvpnkey。接下来，我就会在“外部”接口中使用该证书。如果你愿意的话，也可以选择购买威瑞信等供应商提供的身份证书。

　　corpasa(config)#crypto key generate rsa label sslvpnkey

　　corpasa(config)#crypto ca trustpoint localtrust

　　corpasa(config-ca-trustpoint)#enrollment self

　　corpasa(config-ca-trustpoint)#fqdn sslvpn. mycompany.com

　　corpasa(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com

　　corpasa(config-ca-trustpoint)#keypair sslvpnkey

　　corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

　　corpasa(config)# ssl trust-point localtrust outside

　　图 A

　　2. 启用基于SSL协议的VPN连接

　　corpasa(config)#webvpn

　　corpasa(config-webvpn)#enable outside

　　corpasa(config-webvpn)#svc enable

　　图 B

　　3. 创建组策略

　　组策略可以在客户端进行连接时，给予指定的参数。因为，远程访问客户端在登陆的时间需要分配一个网络IP地址;因此，我们需要建立一个地址池，如果你有一台DHCP服务器的话，也可以选择使用它。

　　corpasa(config)#ip local pool VPN 192.168.100.1-192.168.100.50 mask 255.255.255.0

　　接下来，我将会对默认组策略中的一些项目，举例来说，域名系统服务器、默认域等部分进行调整。通常情况下，设置在这里的默认组策略可以符合大部分用户的基本要求。

　　Corpasa (config)#group-policy DfltGrpPolicy attributes

　　Corpasa (config-group-policy)# wins-server value 192.168.80.205

　　Corpasa (config-group-policy)# dns-server value 172.20.100.1

　　Corpasa (config-group-policy)# dns-server value 192.168.80.216

　　Corpasa (config-group-policy)# vpn-tunnel-protocol svc webvpn

　　Corpasa (config-group-policy)# split-tunnel-policy tunnelspecified

　　Corpasa (config-group-policy)# split-tunnel-network-list value inside-network

　　Corpasa (config-group-policy)# address-pools value VPN

　　图 C

　　接着，我将创建一个叫做Operations的组策略。对于我们的SSL用户来说，这就是实际项目具体内容的所在，Operations的详细情况。

　　Corpasa (config)#group-policy Operations internal

　　Corpasa (config)#group-policy Operations attributes

　　Corpasa (config-group-policy)# banner value Tech Op Remote Access

　　Corpasa (config-group-policy)# banner value Unauthorized access prohibited

　　Corpasa (config-group-policy)# vpn-tunnel-protocol webvpn

　　Corpasa (config-group-policy)# webvpn

　　Corpasa (config-group-webvpn)# url-list value TechOps

　　Corpasa (config-group-webvpn)# homepage none

　　Corpasa (config-group-webvpn)# svc ask none default webvpn

　　Corpasa (config-group-webvpn)# customization value TechOps

　　Corpasa (config-group-webvpn)# hidden-shares visible

　　Corpasa (config-group-webvpn)# file-entry enable

　　Corpasa (config-group-webvpn)# file-browsing enable

　　Corpasa (config-group-webvpn)# url-entry enable

　　图 D

　　4. 配置旁路访问列表

　　通过使用sysopt connect命令，我们可以让ASA容许采用SSL/IPsec协议的客户端绕开访问控制列表的管理。

　　corpasa(config)#sysopt connection permit-vpn

　　5. 创建一个连接配置文件和通道组

　　当远程访问客户端连接到ASA上的时间，它们获得的是一个连接配置文件，也被称作通道组。在使用基于SSL协议的VPN会话时，我们希望可以利用这个通道组来确认连接的具体参数。

　　首先，我们创建一个通道组并命名为RA_SSL：

　　corpasa(config)# tunnel-group RA_SSL webvpn-attributes

　　图 E

　　接下来，我将会对具体参数进行设置：

　　corpasa(config)#tunnel-group RA_SSL webvpn-attributes

　　corpasa(config-tunnel-webvpn)# group-alias RA_SSL enable

　　corpasa(config-tunnel-webvpn)# customization TechOps

　　corpasa(config-webvpn)# group-url https://MyASAIP/RA_SSL enable

　　图 F

　　6. 对网络地址转换豁免进行配置

　　现在，我需要通知ASA不要在远程访问客户端和内部网络之间将要进行的交换数据流上进行网络地址转换操作。首先，我将创建一个访问列表，对数据流进行定义，然后，我们就将这份列表加入网络地址转换功能中。

　　corpasa(config)#access-list no_nat extended permit

　　ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

　　corpasa(config)#nat (inside) 0 access-list no_nat

　　图 G

　　7. 设置用户帐户

　　现在，我们就可以对用户帐户进行处理了。在这里，我将建立一个用户帐户，并且指定它采用VPN远程访问连接。在完成本地帐户的设置后，你还可以对服务器进行配置，选择使用域身份验证。

　　corpasa(config)#username hyde password l3tm3in

　　corpasa(config)#username hyde attributes

　　corpasa(config-username)#service-type remote-access

　　图 H

　　完成最后的步骤：

　　不要忘了将设置保存在内存中。

　　corpasa#write memory

　　建立一个远程连接会话，确定配置的有效性，并且使用下面的查看命令了解会话的细节。

　　corpasa #show vpn-sessiondb webvpn

　　在思科ASA上建立基于SSL协议的VPN远程访问连接时，这是你需要了解的基本知识。不幸的是，除非你进行了相关的配置，否则用户并不会获得什么可以使用的资源。因此，在第二部分中，我将介绍如何对基于SSL协议的VPN门户进行定制，为远程用户提供所需的资源。敬请期待!