首页 > 系统 > windows

Cisco ASA 5505配置AnyConnect Client VPN
时间:2013-04-29 00:19:39  点击: 来源:  作者:

这肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章,但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。ASA本身带有设置向导,但是 ...

这肯定不是第一篇撰写有关“用Cisco设备快速搭建VPN简明指南”的文章,但我们还是希望这篇指南能够成为广大使用ASA 5505设备的用户在设置VPN和连接互联网方面的一站式指南。

ASA本身带有设置向导,但是这个向导并没有覆盖用户所需的各方面工作内容,并且有些步骤讲解的也很模糊,会让用户难以适从。实际上我们的工作可以分为四个步骤:设置SSL验证,配置VPN,然后设置正确的NAT规则,最后如果需要可以开启split-tunneling 。SSL验证可以让用户通过加密隧道从互联网访问企业内网的资源。在下面的讲解中,使用的是自签名的验证方式用于测试,如果是实际应用,则应该通过第三方认证机构获取SSL认证证书。VPN的设置相对简单。然后我们还会详细介绍一下向导所讲的内容和配置步骤。最后一步的设置可以让用户同时访问内网和外网信息。下面是针对实验环境所作的配置步骤,测试的实验环境可以连接内网和外网,设置有DMZ,并安装了思科ASDM和CLI。

设置 SSL证书

点击顶部的Configuration按钮并选择Remote Access VPN

点击 Certificate Management 然后点击 Identity Certificates

点击Add 然后选择 Add a new identity certificate.

点击 New 然后输入新的VPN名字(比如VPN)

点击 Generate Now.

你需要输入FQDN(全称域名),比如CN=vpn.domain.com 然后点击 OK.

勾选Generate Self Signed Certificate然后点击 Add Certificate.

点击 OK.

设置AnyConnect Remote Access VPN:

点击Wizards 然后进入VPN 向导界面

勾选AnyConnect SSL VPN Client (AnyConnect VPN Client)

选择一个连接名称(如VPN)

确保选择的是 Outside接口

在证书下拉菜单中选择我们刚建立的那个证书。

注意一下从客户端访问VPN的地址(比如ip.add.re.ss:444)

点击 Next

可以使用本地数据库用户(自己建立几个用户)或者使用LDAP里的信息(比如你的活动目录用户)

点击 Next

建立一个新的策略并为其命名(比如AnyConnect),然后点击Next

点击New 为用户建立一个地址池。注意不要使用与内网相同的子网。比如内网使用的是192.168.100.0/24 ,那么VPN地址池可以使用 192.168.104.0/24 。如果你只希望地址池里有20个 IP地址,可以设置起始IP地址为192.168.104.20,结束IP地址为192.168.104.40.

从下拉菜单中选择刚才建立的地址池。如果内网没有使用Ipv6,就不用考虑Ipv6地址池的问题。

至于AnyConnect的图像,你可以浏览一下本地或者用SMARTnet账户登录Cisco网站下载然后上传到此处。

点击 Finish。也可以先点击 Apply保存设置。

建立 NAT 豁免规则(为了快捷使用CLI)

连接到防火墙的 CLI

在配置模式下输入以下命令:

access-list NAT-EXEMPT extended permit ip 192.168.100.0 255.255.255.0 192.168.104.0 255.255.255.0

tunnel-group VPN general-attributes

address-pool AnyConnect (这是我们之前建立的地址池名称)

现在你就可以通过VPN连接到内网环境了。但是用户可能在连接互联网时遇到限制。所以接下来我们要配置split-tunneling让这些VPN 用户能够访问到互联网。如果需要极度安全,那么就不要配置split-tunnel。这是一个实用性与安全性取舍的问题,大家可以权衡一下再做决定。因为 VPN用户肯定不希望仅仅为了在google上查下资源或者看看自己的私人邮箱就必须得退出VPN。

配置 split-tunnel:

回到 ASDM 界面点击Configure,然后是Remote Access VPN,然后选Network Access. 选择Group Policies.

点击我们在向导中建立的组策略,然后选择Edit.

扩展 Advanced 然后点击Split Tunneling

取消 Inherit Policy 并从下拉菜单中选择 Tunnel Network List Below

取消 Network List然后点击 Manage

点击Add 然后Add ACL

为 ACL起个名字,然后再次点击Add并选Add ACE

在 Add ACE 窗口里点击Permit 然后选择内网地址(192.168.100.0)

点击 OK然后确保新的ACL存在于 Network List中。

再次点击 OK。

点击 Apply然后点击Save.

这样你的VPN就可以正常运转,并且VPN客户可以直接在VPN连接中访问互联网了。

【编辑推荐】

  1. Cisco路由器的dhcp服务的配置的命令
  2. 网件路由器的设置技巧分析
  3. 路由器和交换机连接不合理导致秒卡
  4. 三层交换机、路由器和hub的综合比较
  5. 初始化CISCO路由器和交换机密码
【责任编辑:遗忘者 TEL:(010)68476606】

”您可通过以下微信二维码,赞赏作者“
 
 
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
windows如何挂载webdav?
windows如何挂载webda
linux服务器同步互联网时间
linux服务器同步互联
亚马逊云lightsail服务器使用教程 | 亚马逊云lightsail使用指南
亚马逊云lightsail服
hostdare 4折优惠,直接降价60% 美国洛杉矶低至 $10.4/年 768M内存/1核/10gNVMe/500g流量
hostdare 4折优惠,直接
相关文章
栏目更新
栏目热门

关于我们 | 广告服务 | 联系我们 | 网站地图 | 免责声明 | WAP | RSS


Copyright © 运维之家 2013-2024