本地用户配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
** 本地用户配置**

基本配置不在赘述,只讲VPN相关配置,(本地用户密码认证)
sslvpn用户DHCP
ip local pool SslVpnUser 192.168.1.1-192.168.1.100 mask 255.255.255.0
nat免除
nat (inside,outside) source static obj_network obj_network destination static sslsub sslsub
acl配置
access-list sslacl extended permit tcp object sslsub object obj_30.2.2.0 \\源为vpn用户,目的为内网网段
access-list sslacl2 standard permit host 172.17.1.254 \\标准acl,只写目的
注意: 此处的两种类型ACL在下方根据场景选择性调用,可以调用同一个ACL
webvpn配置
webvpn
port 10443 \\定义访问端口
enable outside \\在公网接口启用webvpn功能
anyconnect image disk0:/anyconnect-win-4.9.04053-webdeploy-k9.pkg \\客户端文件
anyconnect enable \\开启anyconnect访问
tunnel-group-list enable \\开启隧道组选择选项
组策略配置
group-policy sslGp internal
group-policy sslGp attributes
vpn-filter value sslacl \\调用acl配置
vpn-tunnel-protocol ssl-client \\定义vpn隧道协议
split-tunnel-policy tunnelspecified *\\vpn走远端和网络走本地,此配置需要和split-tunnel-network-list配合使用
split-tunnel-network-list sslacl2 *\\


split-tunnel-policy tunnelall *\\流量全部走远端

此处加*的配置,是根据场景选配的,请注意,而且调用ACL不是同一个,acl分别为标准ACL和扩展ACL,
为了使VPN用户访问内网资源时可以限制到端口级

隧道组配置
tunnel-group sslTg type remote-access \\隧道组类型
tunnel-group sslTg general-attributes
address-pool SslVpnUser \\调用DHCP配置
default-group-policy sslGp \\调用组策略配置
tunnel-group sslTg webvpn-attributes
group-alias ssltest enable \\隧道别名 --即客户端连接时显示的资源名称
用户配置
username user1 password cisco123 privilege 0
username user1 attributes
group-lock value sslTg \\匹配隧道组
service-type remote-access \\类型为远程接入

结合AD域环境配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
** LDAP用户登录配置**
基本配置(可参考:本地用户密码认证)不在赘述,只讲VPN相关配置,,其余配置和以上相同保持不变
dc=域名,比如主域名:tt.com ,写成dc就是 dc=tt,dc=com
ou=组织单位
cn=用户名或者文件夹,administrator默认所在的目录就是文件夹即Users

LDAP服务器配置
aaa-server localAD protocol ldap \\认证服务器使用的协议,localAD=服务器组的名称
aaa-server localAD (inside) host 172.16.254.122 \\服务器在inside区域,地址为254.122
timeout 60 \\超时时间
ldap-base-dn dc=tt,dc=com \\定义用户登录时,搜索用域名的目录
ldap-scope subtree
ldap-naming-attribute sAMAccountName \\此项必须要有
ldap-login-password cisco \\用于登录ad进行连接验证的密码
ldap-login-dn cn=administrator,cn=users,dc=tt,dc=com \\用户登录ad进行验证的用户名目录
server-type microsoft \\服务器类型为微软AD,也可以配置成auto-detect,让ASA自动侦测
隧道组配置
tunnel-group sslTg type remote-access \\隧道组类型
tunnel-group sslTg general-attributes
address-pool SslVpnUser \\调用DHCP配置
default-group-policy sslGp \\调用组策略配置
authentication-server-group localAD \\指定认证方式为ad服务器用户
tunnel-group sslTg webvpn-attributes
group-alias ssltest enable \\隧道别名 --即客户端连接时显示的资源名称

备注

1
2
3
4
ASA添加lDAP信息,域控用户路径顺序,CN OU DC DC ,即先写小方向的再写大方向的
示例:域控域名为: aaa.idc.com
cn=用户名 cn=文件夹 ou=子组织单位 ou=主组织单位 dc=子域名 dc=主域名 dc=域名后缀
cn=user1,cn=itgroup,ou=bjidc,ou=idc,dc=aaa,dc=idc,dc=com