SSL VPN用户(AnyConnect/SVC和无客户端)可以使用以下不同的方法选择要访问的隧道组[自适应安全设备管理器(ASDM)中的连接配置文件行话]:
group-url
group-alias(登录页上的隧道组下拉列表)
certificate-maps,如果使用证书
本文档演示如何配置自适应安全设备(ASA),以允许用户在登录到WebVPN服务时通过下拉菜单选择组。菜单中显示的组为在 ASA 上配置的实际连接配置文件(隧道组)的别名或 URL。本文档说明如何创建连接配置文件(隧道组)的别名和 URL,以及如何配置要显示的下拉菜单。在运行软件版本 8.0(2) 的 ASA 上使用 ASDM 6.0(2) 执行此配置。
注意:ASA版本7.2.x支持两种方法:group-url和group-alias list。
注意:ASA版本8.0.x支持三种方法:group-url、group-alias和certificate-maps。
基本 WebVPN 配置
本部分提供有关如何配置连接配置文件(隧道组)的别名,以及如何配置这些别名以在 WebVPN 登录页上的“Group”下拉菜单中显示的信息。
完成以下步骤,以在 ASDM 中配置连接配置文件(隧道组)的别名。根据需要,为要配置别名的每个组重复操作。
选择 Configuration > Clientless SSL VPN Access > Connection Profiles。
选择一个连接配置文件并单击 Edit。
在“Aliases”字段中输入别名。
单击 OK 并应用更改。
在“Connection Profiles”窗口中,选中 Allow user to select connection, identified by alias in the table above, at login page。
在命令行中使用以下命令配置连接配置文件(隧道组)的别名,并启用隧道组下拉菜单。根据需要,为要配置别名的每个组重复操作。
ciscoasa#configure terminal ciscoasa(config)#tunnel-group ExampleGroup1 webvpn-att ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable ciscoasa(config-tunnel-webvpn)#exit ciscoasa(config)#webvpn ciscoasa(config-webvpn)#tunnel-group-list enable
本部分提供有关如何配置连接配置文件(隧道组)的 URL,以及如何配置这些 URL 以在 WebVPN 登录页上的“Group”下拉菜单中显示的信息。与 group-alias 相比,使用 group-url(组下拉菜单)的一个优点是,您不会像前一种方法那样暴露组名称。
可使用两种方法在 ASDM 中指定 Group-URL:
配置文件方法 - 完全正常运行
编辑 AC 配置文件并修改 <HostAddress> 字段。
在Windows 2000/XP上,默认配置文件(例如,CiscoAnyConnectProfile.xml)位于以下目录中:C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile。
Vista的位置略有不同:C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\Profile。
在“Connect To”字段中输入组 URL 字符串。
支持以下三种格式的组 URL 字符串:
https://asa-vpn1.companyA.com/Employees
asa-vpn1.companyA.com/Employees
asa-vpn1.companyA.com(只有域,无路径)
完成以下步骤,以在 ASDM 中配置连接配置文件(隧道组)的 URL。根据需要,为要配置 URL 的每个组重复操作。
选择 Configuration > Clientless SSL VPN Access > Connection Profiles>Advanced>Clientless SSL VPN panel。
选择一个连接配置文件并单击 Edit。
在“Group URLs”字段中输入 URL。
单击 OK 并应用更改。
在命令行中使用以下命令配置连接配置文件(隧道组)的 URL,并启用隧道组下拉菜单。根据需要,为要配置 URL 的每个组重复操作。
ciscoasa#configure terminal ciscoasa(config)#tunnel-group Trusted-Employees type remote-access ciscoasa(config)#tunnel-group Trusted-Employees general-attributes ciscoasa(config)#authentication-server-group (inside) LDAP-AD11 ciscoasa(config)#accounting-server-group RadiusACS12 ciscoasa(config)#default-group-policy Employees ciscoasa(config)#tunnel-group Trusted-Employees webvpn-attributes ciscoasa(config)#group-url https://asa-vpn1.companyA.com/Employees enable ciscoasa(config)#webvpn ciscoasa(config-webvpn)#tunnel-group-list enable
问题:
如果 ASA VPN 网关位于 NAT 设备后面,如何配置 group-url?
回答:
用户输入的主机/URL 将用于组映射。因此,必须在 ASA 的外部接口上使用 NAT'd 地址,而不是实际地址。最佳替代方法是为 group-url 映射使用 FQDN,而不是 IP 地址。
所有映射均是在 HTTP 协议级别上实施的(基于浏览器发送的信息),根据传入的 HTTP 标头中的信息组成 URL 以进行映射。主机名或 IP 取自主机标头,URL 的其余部分取自 HTTP 请求行。这意味着用户输入的主机/URL 将用于组映射。
导航到 ASA 的 WebVPN 登录页,验证是否启用了下拉菜单以及是否显示别名。
导航到 ASA 的 WebVPN 登录页,验证是否启用了下拉菜单以及是否显示 URL。
如果下拉列表未显示,请确保已启用该列表并配置了别名。用户常常执行了这两项操作中的一项操作,但未执行另一项。
确保正在连接到 ASA 的基本 URL。如果使用 group-url 连接到 ASA,则不会显示下拉列表,因为 group-url 的目的是执行组选择。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
17-Aug-2007 |
初始版本 |