远程访问VPN使单个用户可以通过TCP / IP网络(例如Internet)上的安全连接来连接到中央站点。 与其他常见的VPN客户端解决方案不同,无客户端SSL 虚拟专用网不需要客户端下载并安装VPN客户端,到中央位置(ASA所在的位置)的所有通信都是通过安全套接字层(SSL)或其后继者完成的,传输层安全性(TLS)。

这篇文章介绍了如何使用无客户端SSL 虚拟专用网功能建立远程访问VPN连接。
此博客中的相关文章:

1.拓扑

2.配置步骤

2.1启动VPN向导->无客户端SSL 虚拟专用网向导…

2.2设置SSL 虚拟专用网接口

2.3用户认证

2.4组策略

2.5书签列表


2.6导入RDP / SSH / VNC插件

2.6.1下载RDP / SSH / VNC Java插件

2.6.2导入插件

2.7测试

3.配置

ciscoasa#显示运行
:已保存


:序列号:9ALU3EW6LDF
: 硬件: ASAv,1024 MB RAM,CPU Xeon 5500系列2294 MHz
:
ASA 9.5(1)200版 
!
主机名ciscoasa
启用密码8Ry2YjIyt7RRXU24加密
每会话xlate拒绝tcp any4 any4
每会话xlate拒绝tcp any4 any6
每会话xlate拒绝tcp any6 any4
每会话xlate拒绝tcp any6 any6
每会话xlate拒绝udp any4 any4 eq域
每会话xlate拒绝udp any4 any6 eq域
每会话xlate拒绝udp any6 any4 eq域
每会话xlate拒绝udp any6 any6 eq域
名字
!
接口GigabitEthernet0 / 0
 nameif INTERNAL
 security-level 100
 IP地址10.9.200.12 255.255.255.0 
!             
接口GigabitEthernet0 / 1
 nameif DMZ
 security-level 100
 IP地址172.17.3.12 255.255.255.0 
!
接口GigabitEthernet0 / 2
 shutdown
 no nameif
 no security-level
 no ip address

!
接口管理0/0
 management-only
 nameif MGMT
 security-level 0
 IP地址192.168.2.12 255.255.255.0 
!
ftp模式被动
dns域查找内部
dns域查找DMZ
dns域查找MGMT
相同安全流量的允许接口
相同安全流量允许内部接口
传呼机线23
记录启用
记录asdm信息
mtu内部1500
mtu DMZ 1500
mtu MGMT 1500
没有故障转移
没有监控器接口服务模块 
icmp无法到达速率限制1突发大小1
没有启用asdm历史记录
arp超时14400
没有arp许可-未连接
超时xlate 3:00:00
超时时间0:00:30
超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02
超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
超时tcp-proxy-reassembly 0:01:00
超时浮动conn 0:00:00
用户身份默认域LOCAL
aaa身份验证ssh控制台本地 
HTTP服务器启用
http 192.168.2.0 255.255.255.0 MGMT
没有snmp服务器位置
没有snmp服务器联系
加密ipsec安全关联管理无限
crypto ca trustpoint _SmartCallHome_ServerCA
 no validation-usage
 crl configure
加密CA Trustpool策略
加密CA证书链_SmartCallHome_ServerCA
 证书ca 6ecc7aa5a7032009b8cebcf4e952d491
   308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130 
   0d06092a 864886f7 0d010105 05003081 ca310b30 09060355 04061302 55533117 
   …
   6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28 
   6c2527b9 deb78458 c61f381e a4c4cb66
  quit
telnet超时5
ssh stricthostkeycheck
ssh 192.168.2.0 255.255.255.0 MGMT
ssh超时5
SSH密钥交换组dh-group1-sha1
控制台超时0
威胁检测基本威胁
威胁检测统计信息访问列表
没有威胁检测统计信息tcp-intercept
网络VPN
 enable DMZ
 错误恢复禁用
组策略sslvpn_policy1内部
组策略sslvpn_policy1属性
 vpn-tunnel-protocol ssl-clientless
 webvpn
 网址清单值test21
动态访问策略记录DfltAccessPolicy
用户名测试密码P4ttSyrm33SV8TYp加密特权0
用户名测试属性
 vpn-group-policy sslvpn_policy1
 webvpn
 网址清单值test21
用户名管理员密码eY / fQXw7Ure8Qrz7加密
用户名admin属性
 webvpn
 网址清单值test21
隧道组SSLVPN1类型远程访问
隧道组SSLVPN1常规属性
 默认组策略sslvpn_policy1
!
类图检查_默认
 匹配默认检查流量
!
!
策略映射类型检查dns预设_dns_map
 parameters
 邮件长度最大客户端自动
 讯息长度上限512
政策图global_policy
 类inspection_default
  inspect ip-options 
  inspect netbios 
  inspect rtsp 
  inspect sunrpc 
  inspect tftp 
  inspect xdmcp 
 检查dns预设_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect esmtp 
  inspect sqlnet 
  inspect sip  
  inspect skinny  
策略映射类型检查dns migrationd_dns_map_1
 parameters
 邮件长度最大客户端自动
 讯息长度上限512
!
服务策略全局_策略全局
提示主机名上下文 
没有匿名的回电报告
回电
 profile 思科公司TAC-1
  no active
  destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
 目的地地址电子邮件 [电子邮件 protected]
 目的地运输方法http
 订阅警报组诊断
 订阅警报组环境
 每月定期订阅警报组库存
 每月定期订阅警报组配置
 每日定期订阅警报组遥测
 profile License
  destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
 目的地运输方法http
hpm topN启用
密码校验和:933e07d913ddf455a108be19e0e61f9b
: 结束
ciscoasa# 

参考

通过 约翰

发表评论