网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2555|回复: 0

[VPN技术] Cisco Web VPN 配置详解

[复制链接]
发表于 2007-8-26 21:50:22 | 显示全部楼层 |阅读模式
注意:本文仅对WebVPN特性和配置作介绍,不包含SSL VPN配置,SSL VPN配置将在本版的后续文章中进行介绍。





首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。
ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)

下面列出在ASDM中看到的默认值:

默认IPSec-l2l隧道组: DefaultL2LGroup
默认IPSec-ra隧道组: DefaultRAGroup
默认WebVPN隧道组: DefaultWEBVPNGroup

默认组策略: DfltGrpPolicy
默认组策略的默认隧道协议: IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载WebVPN时默认采用DefaultWEBVPNGroup,用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。


1、WebVPN服务基本配置。
-----------------------------------------
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip address 198.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no sh
ciscoasa(config-if)# exit
!
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside
!在外网接口上启动WebVPN
!
-----------------------------------------
ciscoasa(config)# group-policy mywebvpn-group-policy ?

configure mode commands/options:
  external  Enter this keyword to specify an external group policy
  internal  Enter this keyword to specify an internal group policy
!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。
!
ciscoasa(config)# group-policy mywebvpn-group-policy internal
!创建了一个名为mywebvpn-group-policy的Internal类型Policy。
-----------------------------------------
!
ciscoasa(config)# group-policy mywebvpn-group-policy ?      

configure mode commands/options:
  attributes  Enter the attributes sub-command mode
  external    Enter this keyword to specify an external group policy
  internal    Enter this keyword to specify an internal group policy
!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。
-----------------------------------------
!
ciscoasa(config)# username steve6307 password cisco
!创建一个本地用户
ciscoasa(config)# username steve6307 attributes
ciscoasa(config-username)# vpn-group-policy mywebvpn-group-policy
!将用户加入刚才创建的VPN策略组中

注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的VPN策略组,直接赋予策略(俗曰“权限”)。
注意:不过这是不推荐的,因为这样配置的可扩展性太差。
-----------------------------------------
!
ciscoasa(config)# tunnel-group mywebvpn-group type webvpn
!创建一个名为mywebvpn-group的webvpn隧道组。
!
ciscoasa(config)# tunnel-group mywebvpn-group general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group LOCAL
!定义该隧道组用户使用的认证服务器,这里为本地认证
-----------------------------------------
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable
!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆
!
ciscoasa(config)# tunnel-group mywebvpn-group webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-alias group1 enable
!为改组定义别名,用于显示给用户进行选择。
-----------------------------------------
!
!到此为止,WebVPN基本配置完毕,可以开始让外网用户使用浏览器测试了。



2、WebVPN测试。
本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。
在浏览器中输入https://198.1.1.1即可访问到WebVPN主页。
由于只定义了一个WebVPN隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。

如下图:

t1.gif (30.85 KB)
06-11-23 15:28






在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这里是使用vpneasy.net和itdomino.com的联盟首页做的一台内网测试用的Web服务器。

                                                                                                                                                       引自vpneasy.net
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-12-12 17:20 , Processed in 0.093600 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表