防火墙上实现胖客户端SSLVPN

实验

实验拓扑图:

实验步骤:

各设备IP地址规划:

R2(config)#int f0/1

R2(config-if)#ip add 100.0.0.2 255.255.255.252

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 200.0.0.2 255.255.255.252

R2(config-if)#no shut

R3(config)#int f0/0

R3(config-if)#ip add 200.0.0.1 255.255.255.252

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 192.168.10.1 255.255.255.0

R3(config-if)#no shut

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add 10.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# ip add 100.0.0.1 255.255.255.252

ciscoasa(config-if)# no shut

ciscoasa(config-if)# nameif outside

配置默认路由:

ciscoasa(config)# ip route 0 0 100.0.0.2

R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

配置NAT:

R3(config)#access-list 1 permit 192.168.10.0 0.0.0.255

R3(config)#ip nat inside source list 1 in f0/0 overload

R3(config)#int f0/0

R3(config-if)#ip nat out

R3(config-if)#int f0/1

R3(config-if)#ip nat in

测试与VPN设备通信:

将客户端软件通过TFTP传送到ASA防火墙:

输入本地主机IP地址:

在GNS3上模拟需要防火墙具有保存功能:

创建名为start-config文件:

ciscoasa# copy running-config disk0:/.private/stratup-config

ciscoasa(config)# copy tftp: disk0:  //上传到disk0

Address or name of remote host [10.0.0.2]? 10.0.0.2  //源主机IP地址

Source filename [anyconnect]? sslclient-win-1.1.4.179-anyconnect.pkg   //上传的客户端软件名称

配置胖客户端SSLVPN:

ciscoasa(config)# access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any  //指定客户端感兴趣流量

ciscoasa(config)# ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0   //分给客户端的IP

ciscoasa(config-if)# webvpn

ciscoasa(config-webvpn)# enable outside  //开启webvpn隧道

ciscoasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg  //指定客户端软件

ciscoasa(config-webvpn)# svc enable

ciscoasa(config-webvpn)# tunnel-group-list enable   //使用户可以选择组列表

ciscoasa(config-webvpn)# ex

ciscoasa(config)# group-policy gpolicy internal //定义组策略为本地

ciscoasa(config)# group-policy gpolicy attributes   //定义各种属性

ciscoasa(config-group-policy)# vpn-tunnel-protocol svc webvpn   //指定隧道类型,并开启胖客户端

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified //开启隧道分离

ciscoasa(config-group-policy)# split-tunnel-network-list value 110

ciscoasa(config-group-policy)# webvpn

ciscoasa(config-group-webvpn)# svc ask enable

ciscoasa(config)# username zhangsan password 123123

ciscoasa(config)# tunnel-group tg type webvpn  //定义隧道组

ciscoasa(config)# tunnel-group tg general-attributes   //定义各种属性

ciscoasa(config-tunnel-general)# address-pool vip  //调用地址池

ciscoasa(config-tunnel-general)# default-group-policy gpolicy  //调用组策略

ciscoasa(config-tunnel-general)# tunnel-group tg webvpn-attributes

ciscoasa(config-tunnel-webvpn)# group-alias groups enable   //启用别名

使用客户端登录VPN设备:

点击下载客户端:

下载浏览器控件:

VPN客户端安装完成:

测试客户端访问公司内网服务器:

实验完成

时间: 2024-10-10 17:29:43

防火墙上实现胖客户端SSLVPN的相关文章

防火墙上实现无客户端SSLVPN

实验 实验拓扑图: 实验步骤: 各设备IP地址规划: R2(config)#int f0/1 R2(config-if)#ip add 100.0.0.2 255.255.255.252 R2(config-if)#no shut R2(config-if)#int f0/0 R2(config-if)#ip add 200.0.0.2 255.255.255.252 R2(config-if)#no shut R3(config)#int f0/1 R3(config-if)#ip add 2

在ASA防火墙上实现SSL-VPN(胖客户端模式)

实验拓扑: 图中R2模拟公网,假设某公司有一个服务器C2(windows server 2008系统,ip地址为192.168.10.2)公司的某员工需要远程访问这台服务器,C1为该员工用的客户端电脑(windows XP系统),R1是192.168.1.0内网的出口路由 实验要求: 1.192.168.1.0和192.168.10.0两个内网可以访问公网 2.在防火墙上用胖客户端模式做SSL-VPN实现C1可以访问C2 实验步骤: 首先为每个设备配置ip地址和路由 R1(config-if)#

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别 说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令 通过这

ASA防火墙上做基于域名的URL过滤

实验 实验拓扑图: 实验环境:   在server2008服务器上搭建WEB网站和DNS服务,分别创建域名为benet.com和accp.com两个网站.   实验要求:   首先客户端可以访问服务器上的两个网站,成功后在防火墙上做URL过滤使客户端无法访问accp.com网站.   实验步骤: 首先在ASA防火墙上配置各区域名称和IP地址:   ciscoasa(config)# int e0/0 ciscoasa(config-if)# nameif inside ciscoasa(conf

胖客户端和瘦客户端

胖和瘦?纠结了妙龄少女,更郁闷了无数男女老少.每天充斥在宿舍的一句话就是:从明天开始我要减肥!!结果,可想而知,真的永远是明天而已.就这样,胖和瘦在我们人类之间无缝不在的存在着.可是客户端怎么就有胖瘦啦?刚刚看到这对名词时,我也是很纳闷.不过细加了解后,才知道这两者的区别. 可想而知,胖客户端和瘦客户端这是一组成对存在.没有胖就没有瘦,没有瘦也就没有胖.那么究竟什么是胖客户端?什么是瘦客户端呢?两者又有什么区别呢?后者也是我们今天讨论的主要问题. 胖客户端是指在客户机器上安装配置的一个功能丰富的

[转]关于胖客户端和瘦客户端的理解

http://blog.sina.com.cn/s/blog_572390880100oo86.html C/S B/S的区别 你是不是说胖客户端相当于一个C/S结构,而瘦客户端相当于一个B/S结构呀 胖客户端和瘦客户端是相对的.之间的区别在于是否有大量的业务逻辑需要放在客户端,c/s结构中,主要的逻辑程序放在客户端,很多时候服务器是指的数据库服务器.所以是胖客户端 而在b/s结构中业务逻辑都放在服务器上.客户端只有个浏览器,服务器发送给客户端的只有遵循了html规则的字符串,当然如果你用到了a

故障解决之在防火墙上实现ECMP功能

故障解决之在防火墙上实现链路负载 一.网络拓扑 二.基本配置 1.职场的网关是Juniper的EX4200,配置有vlan524 :10.63.224.0/24和vlan525 :10.63.225.0/24.配置默认路由下一跳指向防火墙. 2.在防火墙SSG550-1上连接两条互联网专线(电信.移动),配置了两条默认路由下一跳分别指向运营商.如下图: 3.在防火墙上配置回指路由. 4.在防火墙上设置224网段通过电信专线访问互联网,225网段通过移动专线访问互联网. 5.添加防火墙策略 二.故

L2TP-VPN通用原理取证及在华为防火墙上的实施

L2TP-VPN通用原理取证及在华为防火墙上的实施 课程目标: ü        系列VPN课程的起步,通过该课程识别VPN的典型架构 ü        完整的理解并取证L2TP的工作原理及各种配置方案 ü        为理解其它VPN比如:IPSec.MPLS-VPN打下基础 ü        因为各种VPN在必要时,它们可以借力打力,相互承载 适合人群:希望深入理解各种VPN的人群.VPN技术工程人员.华为.思科的安全学员.   课程位置:http://edu.51cto.com/cour

SSL VPN 胖客户端配置

access-list 110 extended permit ip 10.0.0.0 255.255.255.0 any //指定客户端感兴趣流 ip local pool vip 10.0.0.50-10.0.0.60 mask 255.255.255.0 //分给客户端的IP ---------------------------svc镜像设置----------------------------- webvpn enable outside //开启 svc image disk0:/