ASA sslvpn配置

54次阅读
没有评论

1. 本地用户配置

** 本地用户配置**

基本配置不在赘述,只讲VPN相关配置,(本地用户密码认证)
sslvpn用户DHCP
	ip local pool SslVpnUser 192.168.1.1-192.168.1.100 mask 255.255.255.0
nat免除
	nat (inside,outside) source static obj_network obj_network destination static sslsub sslsub
acl配置
	access-list sslacl extended permit tcp object sslsub object obj_30.2.2.0 \\源为vpn用户,目的为内网网段
  access-list sslacl2 standard permit host 172.17.1.254 \\标准acl,只写目的
  注意: 此处的两种类型ACL在下方根据场景选择性调用,可以调用同一个ACL
webvpn配置
	webvpn
  	port 10443 \\定义访问端口
 		enable outside \\在公网接口启用webvpn功能
 		anyconnect image disk0:/anyconnect-win-4.9.04053-webdeploy-k9.pkg \\客户端文件
 		anyconnect enable \\开启anyconnect访问
 		tunnel-group-list enable \\开启隧道组选择选项
组策略配置
	group-policy sslGp internal
	group-policy sslGp attributes
  	vpn-filter value sslacl \\调用acl配置
 		vpn-tunnel-protocol ssl-client  \\定义vpn隧道协议
 		split-tunnel-policy tunnelspecified *\\vpn走远端和网络走本地,此配置需要和split-tunnel-network-list配合使用
    split-tunnel-network-list sslacl2 *\\
    
    
 		split-tunnel-policy tunnelall *\\流量全部走远端
    
    此处加*的配置,是根据场景选配的,请注意,而且调用ACL不是同一个,acl分别为标准ACL和扩展ACL,
    为了使VPN用户访问内网资源时可以限制到端口级
    
隧道组配置
	tunnel-group sslTg type remote-access \\隧道组类型
	tunnel-group sslTg general-attributes
 		address-pool SslVpnUser \\调用DHCP配置
 		default-group-policy sslGp \\调用组策略配置
	tunnel-group sslTg webvpn-attributes
 		group-alias ssltest enable	\\隧道别名 --即客户端连接时显示的资源名称
用户配置
	username user1 password cisco123 privilege 0
  username user1 attributes
 		group-lock value sslTg \\匹配隧道组
 		service-type remote-access \\类型为远程接入

2. 结合AD域环境配置

** LDAP用户登录配置**
基本配置(可参考:本地用户密码认证)不在赘述,只讲VPN相关配置,,其余配置和以上相同保持不变
dc=域名,比如主域名:tt.com ,写成dc就是 dc=tt,dc=com
ou=组织单位
cn=用户名或者文件夹,administrator默认所在的目录就是文件夹即Users

LDAP服务器配置
	aaa-server localAD protocol ldap \\认证服务器使用的协议,localAD=服务器组的名称
  aaa-server localAD (inside) host 172.16.254.122 \\服务器在inside区域,地址为254.122
  	timeout 60 \\超时时间
    ldap-base-dn dc=tt,dc=com \\定义用户登录时,搜索用域名的目录
 		ldap-scope subtree
 		ldap-naming-attribute sAMAccountName \\此项必须要有
 		ldap-login-password cisco \\用于登录ad进行连接验证的密码
 		ldap-login-dn cn=administrator,cn=users,dc=tt,dc=com \\用户登录ad进行验证的用户名目录
    server-type microsoft \\服务器类型为微软AD,也可以配置成auto-detect,让ASA自动侦测
隧道组配置
	tunnel-group sslTg type remote-access \\隧道组类型
	tunnel-group sslTg general-attributes
 		address-pool SslVpnUser \\调用DHCP配置
 		default-group-policy sslGp \\调用组策略配置
    authentication-server-group localAD \\指定认证方式为ad服务器用户
	tunnel-group sslTg webvpn-attributes
 		group-alias ssltest enable	\\隧道别名 --即客户端连接时显示的资源名称

3. 备注

ASA添加lDAP信息,域控用户路径顺序,CN OU DC DC ,即先写小方向的再写大方向的
示例:域控域名为: aaa.idc.com
     cn=用户名 cn=文件夹 ou=子组织单位 ou=主组织单位 dc=子域名 dc=主域名 dc=域名后缀
     cn=user1,cn=itgroup,ou=bjidc,ou=idc,dc=aaa,dc=idc,dc=com
admin
版权声明:本站原创文章,由 admin2022-05-28发表,共计2328字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)