(ASA) Cisco SSL *** 配置详解 [三部曲之二]

alonli

本文对SSL ***配置进行介绍，请先阅读本版中的“Cisco Web ***配置详解”。

http://cisco.***easy.net/bbs/attachments/sslweb_h2Pd2ctDoqCN.jpg

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifsslweb.jpg (42.91 KB)06-11-23 19:35　　1、ASA基本配置。
　　ciscoasa(config)# int e0/0
　　ciscoasa(config-if)# ip add 198.1.1.1 255.255.255.0
　　ciscoasa(config-if)# nameif outside
　　INFO: Security level for "outside" set to 0 by default.
　　ciscoasa(config-if)# no shut
　　ciscoasa(config-if)# exit
　　!
　　ciscoasa(config)# int e0/1
　　ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
　　ciscoasa(config-if)# nameif inside
　　INFO: Security level for "inside" set to 100 by default.
　　ciscoasa(config-if)# no shut
　　ciscoasa(config-if)# exit
　　!
　　ciscoasa(config)# web***
　　ciscoasa(config-web***)# enable outside
　　ciscoasa(config-web***)# svc image disk0:/sslclient-win-1.1.2.169.pkg
　　ciscoasa(config-web***)# svc enable
　　!在外网接口上启动Web***，并且启动SVC(SSL *** Client)功能
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　2、SSL ***准备工作。
　　ciscoasa(config)# ip local pool ssl-user 192.168.10.1-192.168.10.99
　　!创建SSL ***用户地址池
　　!
　　ciscoasa(config)# access-list go-*** permit ip 10.10.1.0 255.255.255.0 192.168.10.0 255.255.255.0
　　ciscoasa(config)# nat (inside) 0 access-list go-***
　　!设置SSL ***数据不作nat翻译
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　3、Web***隧道组与策略组
　　ciscoasa(config)# group-policy myssl***-group-policy internal
　　!创建名为myssl***-group-policy的组策略
　　!
　　ciscoasa(config)# group-policy myssl***-group-policy attributes
　　ciscoasa(config-group-policy)# ***-tunnel-protocol web***
　　ciscoasa(config-group-policy)# web***
　　ciscoasa(config-group-web***)# svc enable
　　ciscoasa(config-group-web***)# exit
　　ciscoasa(config-group-policy)# exit
　　ciscoasa(config)#
　　!在组策略中启SVC
　　!
　　ciscoasa(config-web***)# username steve6307 password cisco
　　!创建用户
　　!
　　ciscoasa(config)# username steve6307 attributes
　　ciscoasa(config-username)# ***-group-policy myssl***-group-policy
　　ciscoasa(config-username)# exit
　　!赋予用户策略
　　!
　　ciscoasa(config)# tunnel-group myssl***-group type web***
　　ciscoasa(config)# tunnel-group myssl***-group general-attributes
　　ciscoasa(config-tunnel-general)# address-pool ssl-user
　　ciscoasa(config-tunnel-general)# exit
　　!设置SSL ***用户的地址池
　　!
　　ciscoasa(config)# tunnel-group myssl***-group web***-attributes
　　ciscoasa(config-tunnel-web***)# group-alias group2 enable
　　ciscoasa(config-tunnel-web***)# exit
　　!
　　ciscoasa(config)# web***
　　ciscoasa(config-web***)# tunnel-group-list enable
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　4、配置SSL ***隧道分离（可选）。
　　ciscoasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
　　!注意源地址为ASA的inside网络地址，目标地址始终为any
　　!
　　ciscoasa(config)# group-policy myssl***-group-policy attributes
　　ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
　　ciscoasa(config-group-policy)# split-tunnel-network-list value split-ssl