ASA 8.X:通過隧道預設網關路由SSL VPN流量配置示例

下載選項

  • PDF     (824.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (700.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (803.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2010 年 10 月 18 日
文件 ID:112182

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何配置自適應安全裝置(ASA)以通過隧道預設網關(TDG)路由SSL VPN流量。 當您使用隧道選項建立預設路由時,所有來自在ASA上終止且無法使用已獲取或靜態路由進行路由的隧道的流量都會傳送到此路由。對於從隧道中湧現的流量,此路由會覆蓋任何其他已配置或已獲知的預設路由。

必要條件

需求

嘗試此組態之前,請確保符合以下要求:

  • 運行在8.x版上的ASA

  • Cisco SSL VPN使用者端(SVC)1.x

    注意:Cisco Software Download(僅限註冊客戶)下載SSL VPN客戶端包(sslclient-win*.pkg)。 將SVC複製到ASA上的快閃記憶體。需要將SVC下載到遠端使用者電腦,以便與ASA建立SSL VPN連線。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 運行軟體版本8.x的Cisco 5500系列ASA

  • 適用於Windows 1.1.4.179的Cisco SSL VPN客戶端版本

  • 運行Windows 2000 Professional或Windows XP的PC

  • 思科調適型安全裝置管理員(ASDM)版本6.1(5)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

SSL VPN客戶端(SVC)是一種VPN隧道技術,使遠端使用者能夠享受IPSec VPN客戶端的好處,而無需網路管理員在遠端電腦上安裝和配置IPSec VPN客戶端。SVC使用遠端電腦上已有的SSL加密以及安全裝置的WebVPN登入和身份驗證。

在當前場景中,有一個SSL VPN客戶端通過SSL VPN隧道連線到ASA後面的內部資源。未啟用拆分隧道。當SSL VPN客戶端連線到ASA時,所有資料都將通過隧道傳輸。除了訪問內部資源外,主要標準是通過預設隧道網關(DTG)路由此隧道流量。

您可以為隧道流量定義單獨的預設路由以及標準預設路由。ASA接收的未加密流量沒有靜態路由或學習路由,通過標準預設路由進行路由。ASA接收的加密流量(對於該流量沒有靜態路由或已學習路由)將傳遞到通過隧道預設路由定義的DTG。

要定義隧道化預設路由,請使用以下命令:

route <if_name> 0.0.0.0 0.0.0.0 <gateway_ip> tunneled

設定

本節提供用於設定本文件中所述功能的資訊。

註:使Command Lookup Tool(僅已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。

網路圖表

本檔案會使用以下網路設定:

ssl-tdg-config-example-01.gif

在本示例中,SSL VPN客戶端通過隧道訪問ASA的內部網路。用於內部網路以外目的地的流量也通過隧道傳輸,因為沒有配置拆分隧道,因此通過TDG(192.168.100.20)進行路由。

將封包路由到TDG後(在本案例中為Router 2),它會執行位址轉譯,以便將那些封包路由到網際網路。有關將路由器配置為網際網路網關的詳細資訊,請參閱如何在非Cisco電纜數據機後面配置Cisco路由器

使用ASDM 6.1(5)的ASA配置

本檔案假設基本設定(例如介面組態)已完整且運作正常。

注意:有關如何允許ASDM配置ASA的資訊,請參閱允許ASDM進行HTTPS訪問

注意:除非更改埠號,否則不能在同一個ASA介面上啟用WebVPN和ASDM。有關詳細資訊,請參閱在同一介面ASA上啟用ASDM和WebVPN

完成這些步驟,以便使用SSL VPN嚮導配置SSL VPN。

  1. 從Wizards選單中選擇SSL VPN Wizard

    ssl-tdg-config-example-02.gif

  2. 按一下Cisco SSL VPN Client覈取方塊,然後按一下Next

    ssl-tdg-config-example-03.gif

  3. 在Connection Name欄位中輸入連線的名稱,然後從SSL VPN Interface下拉選單中選擇使用者用於訪問SSL VPN的介面。

    ssl-tdg-config-example-04.gif

  4. 按「Next」(下一步)。

  5. 選擇身份驗證模式,然後按一下Next。(此示例使用本地身份驗證。)

    ssl-tdg-config-example-05.gif

  6. 建立新的組策略,而不是現有的預設組策略。

    ssl-tdg-config-example-06.gif

  7. 建立一個新的地址池,一旦連線到SSL VPN客戶端PC,該地址池將被分配給SSL VPN客戶端PC。

    ssl-tdg-config-example-07.gif

    名為newpool建立的池範圍是192.168.10.40-192.168.10.50。

    ssl-tdg-config-example-08.gif

  8. 按一下Browse以選擇SSL VPN客戶端映像並將其上傳到ASA的快閃記憶體。

    ssl-tdg-config-example-09.gif

  9. 按一下「Upload」以設定從機器本地目錄到檔案的路徑。

    ssl-tdg-config-example-10.gif

  10. 按一下Browse Local Files以選擇sslclient.pkg檔案所在的目錄。

    ssl-tdg-config-example-11.gif

  11. 按一下「Upload File」,將所選檔案上傳到ASA的快閃記憶體。

    ssl-tdg-config-example-12.gif

    ssl-tdg-config-example-13.gif

    ssl-tdg-config-example-14.gif

  12. 將檔案上傳到ASA的快閃記憶體後,按一下OK完成該任務。

    ssl-tdg-config-example-15.gif

  13. 現在它顯示上傳到ASA快閃記憶體的最新anyconnect pkg檔案。按「Next」(下一步)。

    ssl-tdg-config-example-16.gif

  14. 顯示SSL VPN客戶端配置的摘要。按一下完成完成嚮導。

    ssl-tdg-config-example-17.gif

ASDM中顯示的配置主要與SSL VPN客戶端嚮導配置有關。

在CLI中,您可以觀察某些其他組態。下面顯示了完整的CLI配置,並突出顯示了一些重要命令。

ciscoasa 
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(4) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.224 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.2 255.255.255.0 
!
interface Ethernet0/2
 nameif manage
 security-level 0
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nonat extended permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0

!--- ACL to define the traffic to be exempted from NAT.
 
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu manage 1500

!--- Creating IP address block to be assigned for the VPN clients

ip local pool newpool 192.168.10.40-192.168.10.50 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.

nat (inside) 1 192.168.100.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1

!--- Default route is configured through "inside" interface for normal traffic.

route inside 0.0.0.0 0.0.0.0 192.168.100.20 tunneled

!--- Tunneled Default route is configured through "inside" interface for encrypted traffic

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable

!--- Configuring the ASA as HTTP server.

http 10.1.1.0 255.255.255.0 manage

!--- Configuring the network to be allowed for ASDM access.

!

!--- Output is suppressed

!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
!

!--- Output suppressed

!
webvpn
 enable outside

!--- Enable WebVPN on the outside interface

 svc image disk0:/sslclient-win-1.1.4.179.pkg 1

!--- Assign the AnyConnect SSL VPN Client image to be used

 svc enable

!--- Enable the ASA to download SVC images to remote computers

group-policy grppolicy internal

!--- Create an internal group policy "grppolicy"

group-policy grppolicy attributes
 VPN-tunnel-protocol svc 

!--- Specify SSL as a permitted VPN tunneling protocol

!
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15

!--- Create a user account "cisco"

tunnel-group Test type remote-access

!--- Create a tunnel group "Test" with type as remote access

tunnel-group Test general-attributes
 address-pool newpool

!--- Associate the address pool vpnpool created

 default-group-policy grppolicy

!--- Associate the group policy "clientgroup" created

prompt hostname context 
Cryptochecksum:1b247197c8ff70ee4432c13fb037854e
: end

ciscoasa#

驗證

本節給出的命令可用於驗證此配置。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

  • show webvpn svc — 顯示儲存在ASA快閃記憶體中的SVC映像。

  • show VPN-sessiondb svc — 顯示有關當前SSL連線的資訊。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
18-Oct-2010
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品