PIX/ASA 7.x ASDM：限制遠端訪問VPN使用者的網路訪問

簡介

本文檔提供了一個使用思科自適應安全裝置管理器(ASDM)的示例配置，用於限制遠端訪問VPN使用者在PIX安全裝置或自適應安全裝置(ASA)後可以訪問哪些內部網路。在以下情況下，您可以將遠端訪問VPN使用者限制在希望他們訪問的網路區域：

1. 建立存取清單。

2. 將它們與組策略關聯。

3. 將這些組策略與隧道組關聯。

請參閱配置Cisco VPN 3000集中器以透過過濾器和RADIUS過濾器分配進行阻止，瞭解VPN集中器阻止VPN使用者訪問的各種方案的相關資訊。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 可以使用ASDM配置PIX。

  注意：要允許ASDM配置PIX，請參閱允許ASDM進行HTTPS訪問。

• 您至少有一個已知良好的遠端訪問VPN配置到位。

  注意：如果沒有任何此類配置，請參閱使用ASDM將ASA配置為遠端VPN伺服器的配置示例，以獲取如何配置一種運行良好的遠端訪問VPN配置的資訊。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco安全PIX 500系列安全裝置版本7.1(1)

  注意： PIX 501和506E安全裝置不支援版本7.x。

• 思科調適型安全裝置管理員版本5.1(1)

  注意： ASDM僅在PIX或ASA 7.x中可用。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

相關產品

此組態也可搭配以下硬體和軟體版本使用：

• Cisco ASA 5500系列調適型安全裝置版本7.1(1)

網路圖表

此文件使用以下網路設定：

在此配置示例中，假設一個小型公司網路有三個子網。此圖說明拓撲。這三個子網是Intranet、Engineering和Payroll。此配置示例的目標是允許工資單人員遠端訪問Intranet和Payroll子網，並防止他們訪問Engineering子網。此外，工程師應能夠遠端訪問內部網和工程子網，但不能訪問工資單子網。本示例中的工資單使用者為「controller1」。本示例中的工程使用者是「engineer1」。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

透過ASDM配置訪問

完成以下步驟，使用ASDM配置PIX安全裝置：

1. 選擇Configuration > VPN > General > Group Policy。

   

2. 根據在PIX上配置隧道組所採取的步驟，對於要限制其使用者的隧道組，組策略可能已經存在。如果已存在適當的組策略，請選擇它並按一下Edit。否則，請按一下Add，然後選擇Internal Group Policy...。

   

3. 如有必要，在打開的窗口頂部輸入或更改組策略的名稱。

4. 在「General」頁籤上，取消選中「Filter」旁邊的Inherit框，然後按一下Manage。

   

5. 按一下Add ACL，以便在顯示的「ACL Manager」窗口中建立一個新的訪問清單。

   

6. 為新訪問清單選擇一個編號，然後按一下OK。

   

7. 在左側選中新ACL，然後按一下Add ACE在清單中增加新的訪問控制條目。

   

8. 定義您要新增的存取控制專案(ACE)。

   在本示例中，ACL 10中的第一個ACE允許從任何源對Payroll子網進行IP訪問。

   注意：預設情況下，ASDM僅選擇TCP作為協定。如果要允許或拒絕使用者完全IP訪問，必須選擇IP。完成後，按一下OK。

   

9. 剛才增加的ACE現在出現在清單中。再次選擇Add ACE，以便在訪問清單中增加任何其他行。

   

   在本示例中，第二個ACE增加到ACL 10中，以允許訪問內部網子網。

   

10. 完成增加ACE之後，請按一下OK。

    

11. 選擇在最後步驟中定義並填充的ACL作為組策略的過濾器。完成後按一下OK。

    

12. 按一下Apply將更改傳送到PIX。

    

13. 如果您在Options > Preferences下將ASDM配置為執行此操作，ASDM預覽將傳送到PIX的命令。按一下傳送。

    

14. 將剛建立或修改的組策略應用於正確的隧道組。在左側框中按一下Tunnel Group。

    

15. 選擇要應用組策略的隧道組，然後按一下Edit。

    

16. 如果您的組策略是自動建立的（請參閱步驟2），請確認在下拉框中選擇了您剛配置的組策略。如果未自動配置組策略，請從下拉框中選擇該策略。完成後按一下OK。

    

17. 按一下Apply，如果提示，請按一下Send以將更改增加到PIX配置中。

    如果已經選取群組原則，您可能會收到訊息「未進行任何變更」。 按一下「OK」（確定）。

18. 對要向其增加限制的任何其他隧道組重複步驟2到17。

    在此配置示例中，還必須限制工程師的訪問。雖然程式是相同的，但有一些窗口上的差異是顯著的：

    • 新增存取清單20

      

    • 在「Engineering Group Policy」中選擇Access List 20作為過濾器。

      

    • 驗證是否已為工程隧道組設定工程組策略。

      

透過CLI配置訪問

完成以下步驟，使用CLI配置安全裝置：

注意：此輸出中顯示的一些命令由於空間原因而分成兩行。

1. 建立兩個不同的訪問控制清單（15和20），在使用者連線到遠端訪問VPN時應用於使用者。稍後將在配置中呼叫此訪問清單。

   ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
   source to the payroll subnet (10.8.28.0/24) 
   
   ASAwCSC-CLI(config)#access-list 15 extended permit ip 
   any 10.8.28.0 255.255.255.0
   
   ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
   source to the subnet used by all employees (10.8.27.0)
   
   ASAwCSC-CLI(config)#access-list 15 extended permit ip 
   any 10.8.27.0 255.255.255.0
   
   ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
   source to the Engineering subnet (192.168.1.0/24)
   
   ASAwCSC-CLI(config)#access-list 20 extended permit ip 
   any 192.168.1.0 255.255.255.0
   
   ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
   source to the subnet used by all employees (10.8.27.0/24)
   
   ASAwCSC-CLI(config)#access-list 20 extended permit ip 
   any 10.8.27.0 255.255.255.0
   

2. 建立兩個不同的VPN地址池。為Payroll和Engineering遠端使用者建立一個。

   ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
   172.10.1.100-172.10.1.200 mask 255.255.255.0
   
   ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
   mask 255.255.255.0
   

3. 為Payroll建立僅在連線時應用的策略。

   ASAwCSC-CLI(config)#group-policy Payroll internal
   
   ASAwCSC-CLI(config)#group-policy Payroll attributes
   
   ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
   
   ASAwCSC-CLI(config-group-policy)#vpn-filter value 15
   
   
   !--- Call the ACL created in step 1 for Payroll.
   
   
   ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
   
   ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com
   
   ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN
   
   
   !--- Call the Payroll address space that you created in step 2.
   
   

4. 此步驟與步驟3相同，不同之處在於它適用於「工程」群組。

   ASAwCSC-CLI(config)#group-policy Engineering internal
   
   ASAwCSC-CLI(config)#group-policy Engineering attributes
   
   ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
   
   ASAwCSC-CLI(config-group-policy)#vpn-filter value 20
   
   
   !--- Call the ACL that you created in step 1 for Engineering.
   
   
   ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
   
   ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com
   
   ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN
   
   
   !--- Call the Engineering address space that you created in step 2.
   
   

5. 建立本機使用者，並將您剛才建立的屬性指派給這些使用者，以限制他們存取資源。

   ASAwCSC-CLI(config)#username engineer password cisco123
   
   ASAwCSC-CLI(config)#username engineer attributes
   
   ASAwCSC-CLI(config-username)#vpn-group-policy Engineering
   
   ASAwCSC-CLI(config-username)#vpn-filter value 20
   
   ASAwCSC-CLI(config)#username marty password cisco456
   
   ASAwCSC-CLI(config)#username marty attributes
   
   ASAwCSC-CLI(config-username)#vpn-group-policy Payroll
   
   ASAwCSC-CLI(config-username)#vpn-filter value 15
   

6. 建立包含工資單使用者的連線策略的隧道組。

   ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra
   
   ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes
   
   ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN
   
   ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll
   
   ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes
   
    ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234
   

7. 為工程使用者建立包含連線策略的隧道組。

   ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra
   
   ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes
   
   ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN
   
   ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering
   
   ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes
   
   ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123
   

輸入配置後，您可以在配置中看到以下突出顯示區域：

ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#  

驗證

使用ASDM的監控功能驗證您的配置：

1. 選擇Monitoring > VPN > VPN Statistics > Sessions。

   您將在PIX上看到活動的VPN會話。選擇您感興趣的會話並按一下Details。

   

2. 選擇ACL頁籤。

   ACL hitcnts反映了流經客戶端和允許網路之間的隧道的資料流。

   

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• Cisco ASA 5500系列自適應安全裝置ASA使用ASDM作為遠端VPN伺服器的配置示例
• Cisco PIX 500系列安全裝置配置示例和技術說明
• Cisco ASA 5500系列自適應安全裝置配置示例和技術說明
• Cisco VPN客戶端配置示例和技術說明
• 技術支援與文件 - Cisco Systems