SSL VPN+AAA
更新时间:2024-04-01 23:12:01 阅读量: 综合文库 文档下载
- ssl错误是什么意思推荐度:
- 相关推荐
SSL VPN+AAA认证
By 紫川凌
微博:http://weibo.com/lingych QQ:616385000
需求拓扑图:
GNS3搭建拓扑:
实验需求
1)本地内网用户能够通过ASA 防火墙实现与外网通信,ASA 使用出口PAT。
2)在ASA 上配置SSL VPN,为外网用户提供VPN 接入,采用AAA认证,外网用户可获得内网
IP
地址,实现能够通过使用内网IP 访问内网的资源,如访问HTTP 服务器。 3)远程拨入的用户,不仅能够访问内网资源,而且同时能够正常访问Internet。 实验实施:
1. 路由交换基本配置在此略过,附件提供startup-config。 2. 防火墙配置:
ciscoasa> enable Password: ciscoasa# conf t
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 211.1.1.1 255.255.255.252 ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif outside ciscoasa(config-if)# int e0/0
ciscoasa(config-if)# ip add 10.1.2.1 255.255.255.252 ciscoasa(config-if)# no sh ciscoasa(config-if)# nameif inside ciscoasa(config-if)# exit
ciscoasa(config)# nat (inside) 1 0 0
ciscoasa(config)# global (outside) 1 interface global for this range already exists
ciscoasa(config)# route outside 0 0 211.1.1.2
ciscoasa(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.2 ciscoasa(config)# access-list 1 permit icmp any any
ciscoasa(config)# access-group 1 in interface outside
//以上是防火墙的基本配置
ciscoasa(config)# aaa-server spoto protocol radius //设置AAA服务器名称为spoto,协议采用radius
ciscoasa(config-aaa-server-group)# aaa-server spoto host 10.1.1.111 //设置AAA服务器spoto的IP地址为10.1.1.111 ciscoasa(config-aaa-server-host)# key spoto //设置防火墙与AAA服务器的认证key为spoto ciscoasa(config-aaa-server-host)# exit
进入到服务器设置AAA认证
1.建立AAA客户端,就是我们的防火墙;
注意:这里选择的协议要和我们防火墙上配置的要一致,否则会认证不成功。
2.设置一个测试用户名和密码
用户名:test 密码:test
3. 回到防火墙上测试
如果认证不成功,请检查AAA与防火墙使用的协议是否一致。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside // 外网口开启webvpn
ciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg //交换虚链路提供的镜像文件位置及其名字 ciscoasa(config-webvpn)# svc enable //开启交换虚链路功能(SSL VPN)
ciscoasa(config-webvpn)# ip local pool ssl-user 192.168.10.1-192.168.10.99 //本地地址池,ssl-user 为池的名字,池为VPN 用户提供IP 地址
ciscoasa(config)# access-list go-vpn permit ip 10.1.1.0 255.255.255.0 192.168.10.0 255.255.255.0
//创建ACL,用于SSL VPN 不做NAT 的流量,前为本地内网网段,后为远程网段 ciscoasa(config)# nat (inside) 0 access-list go-vpn //配置ASA 上不做NAT 的VPN 流量
ciscoasa(config)# group-policy sslvpn-group-policy internal //创建并指定组的内部组策略
ciscoasa(config)# group-policy sslvpn-group-policy attributes //进入组策略的命令模式
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn //VPN 隧道协议使用webvpn
ciscoasa(config-group-policy)# webvpn //进入webvpn 配置模式
ciscoasa(config-group-webvpn)# svc enable //webvpn 中使用SSL VPN
ciscoasa(config-group-webvpn)# exit ciscoasa(config-group-policy)# exit
ciscoasa(config)# tunnel-group sslvpn-tunnel-group type webvpn //隧道组使用webvpn
ciscoasa(config)# tunnel-group sslvpn-tunnel-group general-attributes //进入隧道组mysslvpn 的一般属性配置模式
ciscoasa(config-tunnel-general)# address-pool ssl-user //引用之前创建的地址池ssl-user
ciscoasa(config-tunnel-general)# authentication-server-group spoto //设置VPN拨入到spoto AAA服务器认证
ciscoasa(config-tunnel-general)# default-group-policy sslvpn-group-policy
//设置tunnel的默认组策略
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# tunnel-group sslvpn-tunnel-group webvpn-attributes //进入mysslvpn 隧道组的webvpn 属性配置模式
ciscoasa(config-tunnel-webvpn)# group-alias SPOTO enable //应用SPOTO 这个组,在用户端拨入时可以看到这个选项 ciscoasa(config-tunnel-webvpn)# exit ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable //启用隧道组列表
ciscoasa(config-webvpn)# access-list split-ssl extended permit ip 10.1.1.0 255.255.255.0 any //配置隧道分离时使用的访问列表,其实这条可与前面ACL 100 相同 ciscoasa(config)# group-policy sslvpn-group-policy attributes //进入组策略属性配置
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //隧道分离的策略为特殊隧道
ciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl //隧道分离使用的列表
ciscoasa(config-group-policy)# exit
在XP上进行验证
1. 先ping vpn服务器。
2. 在IE浏览器中访问https://211.1.1.1
后面的测试我就不详细截图了,大家参考薯薯的SSL vpn配置文档。 附件
正在阅读:
SSL VPN+AAA04-01
某县委领导班子述职述廉报告(精选合集)08-23
创业大赛策划书01-13
事业单位请假条.doc08-13
随笔日记雪后有感11-20
管线吹扫试压方案09-19
比喻句拟人句练习04-04
- 计算机试题
- 【2012天津卷高考满分作文】鱼心人不知
- 教育心理学历年真题及答案--浙江教师资格考试
- 20180327-第六届“中金所杯”全国大学生金融知识大赛参考题库
- 洪林兴达煤矿2018年度水情水害预测预报
- 基本要道讲义
- 机电设备安装试运行异常现象分析与对策
- 《有机化学》复习资料-李月明
- 非常可乐非常MC2--非常可乐广告策划提案 - 图文
- 2011中考数学真题解析4 - 科学记数法(含答案)
- 企业人力资源管理师三级07- 09年真题及答案
- 基于单片机的光控自动窗帘控制系统设计说明书1 - 图文
- 20160802神华九江输煤皮带机安装方案001
- (共53套)新人教版一生物必修2(全册)教案汇总 word打印版
- 2014行政管理学总复习
- 中国银监会关于加强地方政府融资平台贷款风险监管的指导意见
- 民宿酒店核心竞争与研究
- 游园活动谜语大全2012
- 河南省天一大联考2016届高三英语5月阶段性测试试题(六)(A卷)
- 小型超市管理系统毕业论文详细设计4
- SSL
- VPN
- AAA
- 移梁作业指导书
- 我国上市公司独立董事存在的问题及对策
- 材料力学2
- 概率论与数理统计习题解答全稿(1-7)
- 浙江省数字校园示范建设校验收自查报告
- 2017-2022年中国汽车电子导航市场运营态势研究报告(目录) - 图
- 赤峰近三十年风向资料 - 图文
- 北京大学(含医学部)2009-2011年硕士研究生招生录取统计
- ABAQUS-UMAT-自学知识整理贴 - 图文
- 高一信息科技练习20150922
- 30462文书档案管理
- 论文翻译
- 诗海拾贝 活动一 搜集诗歌
- 大学物理(下)选择题(简单)
- 冲压模具毕业设计论文范文
- 三人谈:我国反诉制度的发展困境及未来走向中国司法案例研究中心
- 中国人民大学商学院考研辅导参考书如何选择
- 超声波无损检测概述
- 2015年高考英语作文写作基础—英语写作中句子的表达素材
- 教师编制简答题论述题汇编