基本的Cisco AnyConnect全隧道SSL 虚拟专用网使用通过用户名和密码进行的用户身份验证,为客户端提供IP地址分配,并使用基本的访问控制策略。客户端还使用基于身份证书的身份验证对ASA进行身份验证。这篇文章中的部署任务如下:

  • 配置基本的ASA SSL 虚拟专用网网关功能。
  • 配置本地用户身份验证。
  • 配置IPv4 / IPv6地址分配。
  • 配置基本访问控制。
  • 安装Cisco AnyConnect安全移动客户端。

最初,AnyConnect是仅SSL的VPN客户端。从3.0版开始,AnyConnect成为具有附加功能(包括Cisco ASA上的IPsec IKEv2 虚拟专用网终端)的模块化客户端,但是它至少需要ASA 8.4(1)和ASDM 6.4(1)。

此博客中的相关文章:

1.拓扑

在本文中,以Cisco自适应安全设备软件版本9.1(2)和设备管理器版本7.1(3)为例。


DMZ(安全级别50)接口将用于模拟与Internet的外部连接。
内部(安全级别100)接口正在连接到本地网络。

通过Anyconnect 虚拟专用网连接,用户将从172.17.3.62来访问10.9.200.62。

2.基本配置

2.1接口配置

接口GigabitEthernet0 / 0
 nameif INTERNAL
 security-level 100
 IP地址10.9.200.12 255.255.255.0 
!             
接口GigabitEthernet0 / 1
 nameif DMZ
 security-level 50
 IP地址172.17.3.12 255.255.255.0 

接口管理0/0
 management-only
 nameif MGMT
 security-level 0
 IP地址192.168.2.12 255.255.255.0 
 no shutdown

2.2 SSH和ASDM配置

aaa身份验证ssh控制台本地 
HTTP服务器启用
http 192.168.2.0 255.255.255.0 MGMT
ssh 192.168.2.0 255.255.255.0 MGMT
用户名admin密码admin

2.3 NAT和访问列表配置

内部网络可以使用NAT版本的DMZ接口ip 172.17.3.12访问所有DMZ网络。但是,从DMZ到内部没有访问权限。

NAT

防火墙规则

必须在DMZ接口上允许ICMP Echo答复数据包,以使从INTERNAL到DMZ的ping工作正常。

对象服务icmp-reply

 服务icmp echo-r​​eply 0

访问列表global_access扩展允许对象icmp-reply任何任何 
访问列表INTERNAL_access_in扩展许可ip任何 

接口INTERNAL中的access-group INTERNAL_access_in

访问组global_access全局

以下NAT规则是使INTERNAL网络使用DMZ接口ip地址访问DMZ网络。

nat(INTERNAL,DMZ)源动态任何接口

3.启用AnyConnect 虚拟专用网的步骤

3.1启动VPN向导->AnyConnect 虚拟专用网向导…

3.2输入连接配置文件名称

3.3创建和使用新的自签名证书

3.4添加新的客户端映像。
这不是.msi文件。它必须是一个打包文件。

3.5使用ASA中的本地帐户作为身份验证方法

3.6创建和使用SSL连接IPv4地址池

3.7 NAT免税
通常在ASA配置中,会配置NAT。您将必须从NAT配置中免除SSL 虚拟专用网流量

注意:在此向导中,您只能从NAT配置中排除一个本地网络。如果您有多个内部本地网络,则必须从CLI手动进行配置,以将其全部从NAT中排除。否则,您将拒绝您的非NAT免除流量。

3.8允许网络启动

3.9配置总结

在此屏幕之后,您的配置将从ASDM推送到ASA设备。如果任何配置错误,您将收到通知。

4.分割隧道
拆分隧道是一项功能,可用于定义必须加密的子网或主机的流量。这涉及将与此功能关联的访问控制列表(ACL)的配置。在此ACL上定义的子网或主机的通信将通过客户端上的隧道进行加密,并且这些子网的路由将安装在PC路由表中。

如果在AnyConnect 虚拟专用网配置上启用了拆分隧道,则VPN用户到内部网络(10.9.200.0/24)的流量将与其他流量(例如Internet流量)分开。这样,AnyConnect 虚拟专用网用户可以同时保持其Internet连接并具有本地内部网络访问权限。

5.用户策略控制

默认情况下,用户将使用DfltGrpPolicy。您可以自定义本地用户以使用不同的VPN组策略和不同的VPN连接配置文件。

这样,您可以控制哪个网络用户可以访问,因为您可以在VPN连接配置文件中控制拆分隧道网络。

参考:
在ASA上使用拆分隧道配置AnyConnect安全移动客户端

通过 约翰

发表评论