ASA搭建SSLVPN（AnyConnect）_anyconnect搭建

 ASA支持三种SSL（安全套接层）VPN类型

• 无客户端：远程客户通过启用SSL的浏览器访问
• 瘦客户端：远程客户需要安装一个基于JAVA的小程序，可以访问基于TCP的内部资源
• 完全隧道：远程客户需要安装Cisco AnyConnect Secure Mobility，使用完全隧道客户端模式时，远程主机会发送全部IP单播流量

其次，ASA设备提供了2个用户的免费授权

如果搭建完全隧道，需要保证以下三点：

• ASA部署：放行SSLVPN端口，尽量靠近Internet出口
• 用户账户：需要向本地数据库或者外部认证服务器认证
• 客户管理员权限：anyconnect客户端需要本地工作站的管理员权限

拓扑环境：

PNET

ASA：asav-992-100

client：桥接网卡，IP10.10.0.2

 

操作步骤：

 

 ASA

1.注册数字证书

略，之后会单开博客写注册证书。

2.建立隧道和组策略

2.1配置组策略

ciscoasa(config)# ip local pool SSLPOOL 172.16.100.1-172.16.100.10 mask 255.255.255.0

创建客户端地址池

ciscoasa(config)# group-policy SSLVPN internal         #创建组策略

ciscoasa(config)# group-policy SSLVPN attributes

ciscoasa(config-group-policy)# vpn-tunnel-protocol ssl-client        #隧道用于SSL

ciscoasa(config-group-policy)# address-pools value SSLPOOL        #调用地址池

2.2配置隧道组

ciscoasa(config)# tunnel-group SSLVPNTP type remote-access  

ciscoasa(config)# tunnel-group SSLVPNTP general-attributes 

ciscoasa(config-tunnel-general)# default-group-policy SSLVPN        #将组策略添加到隧道组

 

3.设置用户认证 

ciscoasa(config)# username test1 password 123.com 

使用本地认证，RADIUS认证则另起博客讲解 

 

4.配置Cisco AnyConnect Secure Mobility客户端 

有两种方式在用户计算机上安装客户端

• web-enabled mode（web模式）：打开浏览器下载客户端
• standalone mode（独立模式）：从文件服务器或Cisco.com

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside        #在外部接口启用SSL

ciscoasa(config-webvpn)# anyconnect image flash:/anyconnect.pkg
ciscoasa(config-webvpn)# anyconnect enable 

ciscoasa(config-webvpn)# tunnel-group-list enable

ciscoasa(config)# tunnel-group SSLVPNTP webvpn-attributes

ciscoasa(config-tunnel-webvpn)# group-alias SSLVPNTP enable

 

 客户端首先测试是否能连通ASA外部接口地址

 输入ASA外部接口地址，因为没有配置SSL证书所以会警告

 输入之前准备好的账户名和密码

 点击Download for Windows，下载客户端

下载运行安装程序

安装完毕 

 

 

 点击齿轮图标，Preferences取消勾选最后一条，因为没配置SSL证书所以不信任

 输入FW外部接口地址，Connect

 选择Connect Anyway，然后输入账户名和密码

连接成功

客户端获得新地址