开启 SSL ×××并安装 client模块:
ciscoasa(config)# web***
ciscoasa(config-web***)# enable outside
INFO: Web××× and DTLS are enabled on 'outside'.
ciscoasa(config-web***)# svc p_w_picpath disk0:/anyconnect-win-2.3.0185-k9.pkg
ciscoasa(config-web***)# svc enable
ciscoasa(config-web***)# tunnel-group-list enable
ciscoasa(config-web***)# exit
配置自动分配给用户的地址池:
ciscoasa(config)# ip local pool ccie 100.1.1.100-100.1.1.200 mask 255.255.255.0
定义隧道分离网段:
ciscoasa(config)# access-list split-ssl extended permit ip 10.1.1.0 255.255.255.0 any
定义组策略属性:
ciscoasa(config)# group-policy SSLCLientPolicy internal
ciscoasa(config)# group-policy SSLCLientPolicy attributes
ciscoasa(config-group-policy)# address-pools value ccie
ciscoasa(config-group-policy)# dns-server value 202.96.0.20
ciscoasa(config-group-policy)# default-domain value cisco.com
ciscoasa(config-group-policy)# ***-tunnel-protocol svc
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl
ciscoasa(config-group-policy)# exit
定义隧道策略属性:
ciscoasa(config)# tunnel-group mygroup type remote-access
ciscoasa(config)# tunnel-group mygroup general-attributes
ciscoasa(config-tunnel-general)# default-group-policy SSLCLientPolicy
ciscoasa(config-tunnel-general)# tunnel-group mygroup web***-attributes
ciscoasa(config-tunnel-web***)# group-alias mygroup enable
ciscoasa(config-tunnel-web***)# exit
定义用来认证的账户:
ciscoasa(config)# username chinaccie password chinaccie
在网页浏览器中输入 SSL ××× Server 外网地址: ,连接 SSL ×××
Server
如果ASA后方做了NAT将内网流量全部通过outside出口的话,从sll***客户端访问10.1.1.1就不通了。
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
说明: 在ASA上配置NAT将所有inside的流量都转换为outside接口地址12.1.1.1出去。
解决方法:将相应的流量从NAT中移除
ciscoasa(config)# access-list nonat extended permit ip 10.1.1.0 255.255.255.0 any
ciscoasa(config)# nat (inside) 0 access-list nonat
注释::将源10.1.1.0/24去往 SSL ××× Client 的流量从 NAT中移除,any可以写ssl ***的地址池。