2024年5月29日发(作者:徐笑旋)
ASA5520 旁路模式SSLVPN+LDAP认证+隧道隔离
1、 配置主机名、接口地址、默认路由
asa5520(config)# hostname ASA-ZDYF
ASA-ZDYF(config)# interface gigabitEthernet 0/0 //进入接口
ASA-ZDYF(config-if)# nameif inside //配置接口名称
ASA-ZDYF(config-if)# security-level 100 //配置接口安全级别
ASA-ZDYF(config-if)# ip address 10.10.10.15 255.255.255.0 //配置接口地址
ASA-ZDYF(config-if)# no shutdown //打开接口
ASA-ZDYF(config)# route inside 0 0 10.10.10.1 //配置默认路由
2、 配置进入特权模式密码
ASA-ZDYF(config)# enable password XXXXXX
3、 配置LDAP同步域账户
ASA-ZDYF(config)# aaa-server protocol ldap //定义认证使用的域名(这只是个
名字,当然为了好管理,最好是和实际域名相同),使用ldap协议;
ASA-ZDYF(config-aaa-server-group)# max-failed-attempts 3 //定义可以错几次密码;
ASA-ZDYF(config-aaa-server-group)# aaa-server (inside) host 192.168.2.12 //认
证服务器的IP地址,和绑定在inside接口上;
ASA-ZDYF(config-aaa-server-host)# ldap-base-dn ou=voice,dc=unifun,dc=com,dc=cn //定义域
名的dn,也就是用户在域中OU的什么位置才许可,不是用的group,而是用的OU的位置;
ASA-ZDYF(config-aaa-server-host)# ldap-scope subtree //包含里面的子OU;
ASA-ZDYF(config-aaa-server-host)# ldap-login-password ******** //用于同步域用户时候的
密码,也就是登陆与控制器的管理员密码;
ASA-ZDYF(config-aaa-server-host)#ldap-login-dn cn=administrator,ou=voice,dc=unifun,dc=com,dc=cn //定义
administrator所在域中的位置;
ASA-ZDYF(config-aaa-server-host)# server-type Microsoft //定义服务器的类型是微软的域控;
4、 配置远程SSH连接
ASA-ZDYF(config)# crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,
产生rsa的时间越长,cisco推荐使用1024.
ASA-ZDYF(config)# ssh 0 0 inside //表示任何外部主机都能通过SSH访问inside接口,当然可
以指定具体的主机或网络来进行访问;
ASA-ZDYF(config)# ssh timeout 30 //设置超时时间,单位为分钟
ASA-ZDYF(config)# ssh version 2 //指定SSH版本,可以选择版本2
ASA-ZDYF(config)# username XXXX password XXXX //创建本地账号
ASA-ZDYF(config)# aaa authentication ssh console LOCAL //为SSH启用域认证
和本地认证,LOCAL一定要大些,防止网络出现问题同步不了域用户的情况下使用本地账号;
5、 SSL VPN的配置
(1) 启动webvpn、加载svc、启动svc、启动tunnel-group
ASA-ZDYF(config)# webvpn
ASA-ZDYF(config-webvpn)# enable
ASA-ZDYF(config-webvpn)# svc image flash:/
ASA-ZDYF(config-webvpn)# svc enable
ASA-ZDYF(config-webvpn)# tunnel-group-list enable
(2) 配置组策略
ASA-ZDYF(config)# group-policy svc-1 internal
ASA-ZDYF(config)# group-policy svc-1 attributes
ASA-ZDYF(config-group-policy)# vpn-tunnel-protocol webvpn svc
ASA-ZDYF(config-group-policy)# webvpn
ASA-ZDYF(config-group-webvpn)# svc keep-installer installed
(3) 配置本地用户属性
ASA-ZDYF(config)# username zdyf attributes
ASA-ZDYF(config-username)# vpn-group-policy svc-1
(4) 配置SSL VPN地址池
ASA-ZDYF(config)# ip local pool ssl-pool-1 192.168.10.100-192.168.10.200 mask
255.255.255.0
(5) 配置组
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 type remote-access
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 general-attributes
ASA-ZDYF(config-tunnel-general)# address-pool ssl-pool-1
ASA-ZDYF(config-tunnel-general)# default-group-policy svc-1
(6) 配置组webvpn属性
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 webvpn-attributes
ASA-ZDYF(config-tunnel-webvpn)# group-alias unifun enable //给组重命名并启用
(7) 配置VPN数据流不做nat翻译
ASA-ZDYF(config)# access-list go-vpn extended permit ip 10.10.10.0 255. 255.255.0
192.168.10.0 255.255.255.0 //源地址为内网网段,目标地址为VPN地址池网段;
ASA-ZDYF(config)# nat (inside) 0 access-list go-vpn
(8) 配置隧道隔离(防止一连上VPN后上不了网)
ASA-ZDYF(config)# access-list split-ssl extended permit ip 10.10.10.0 255.255.255.0
any //源地址为内网网段,目标地址始终为any;
ASA-ZDYF(config)# group-policy svc-1 attributes
ASA-ZDYF(config-group-policy)# split-tunnel-policy tunnelspecified
ASA-ZDYF(config-group-policy)# split-tunnel-network-list value split-ssl
(9) 配置内网接口既作为VPN客户的接入端口,同时也作为解密流量的出口
ASA-ZDYF(config)# interface gigabitEthernet 0/0
ASA-ZDYF(config-if)# same-security-traffic permit intra-interface
ASA-ZDYF(config)# global (inside) 1 interface
ASA-ZDYF(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ASA-ZDYF(config)# access-list go-vpn permit ip 192.168.10.0 255.255.255.0
192 .168.10.0 255.255.255.0
(10) 启用LDAP同步域用户作为SSLVPN登录账号
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 general-attributes
ASA-ZDYF(config-tunnel-general)# authentication-server-group LOCAL
//先使用域用户进行认证,如果网络出现问题无法同步域用户则使用本地用户登
录;
黄色字体为自定义内容
2024年5月29日发(作者:徐笑旋)
ASA5520 旁路模式SSLVPN+LDAP认证+隧道隔离
1、 配置主机名、接口地址、默认路由
asa5520(config)# hostname ASA-ZDYF
ASA-ZDYF(config)# interface gigabitEthernet 0/0 //进入接口
ASA-ZDYF(config-if)# nameif inside //配置接口名称
ASA-ZDYF(config-if)# security-level 100 //配置接口安全级别
ASA-ZDYF(config-if)# ip address 10.10.10.15 255.255.255.0 //配置接口地址
ASA-ZDYF(config-if)# no shutdown //打开接口
ASA-ZDYF(config)# route inside 0 0 10.10.10.1 //配置默认路由
2、 配置进入特权模式密码
ASA-ZDYF(config)# enable password XXXXXX
3、 配置LDAP同步域账户
ASA-ZDYF(config)# aaa-server protocol ldap //定义认证使用的域名(这只是个
名字,当然为了好管理,最好是和实际域名相同),使用ldap协议;
ASA-ZDYF(config-aaa-server-group)# max-failed-attempts 3 //定义可以错几次密码;
ASA-ZDYF(config-aaa-server-group)# aaa-server (inside) host 192.168.2.12 //认
证服务器的IP地址,和绑定在inside接口上;
ASA-ZDYF(config-aaa-server-host)# ldap-base-dn ou=voice,dc=unifun,dc=com,dc=cn //定义域
名的dn,也就是用户在域中OU的什么位置才许可,不是用的group,而是用的OU的位置;
ASA-ZDYF(config-aaa-server-host)# ldap-scope subtree //包含里面的子OU;
ASA-ZDYF(config-aaa-server-host)# ldap-login-password ******** //用于同步域用户时候的
密码,也就是登陆与控制器的管理员密码;
ASA-ZDYF(config-aaa-server-host)#ldap-login-dn cn=administrator,ou=voice,dc=unifun,dc=com,dc=cn //定义
administrator所在域中的位置;
ASA-ZDYF(config-aaa-server-host)# server-type Microsoft //定义服务器的类型是微软的域控;
4、 配置远程SSH连接
ASA-ZDYF(config)# crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,
产生rsa的时间越长,cisco推荐使用1024.
ASA-ZDYF(config)# ssh 0 0 inside //表示任何外部主机都能通过SSH访问inside接口,当然可
以指定具体的主机或网络来进行访问;
ASA-ZDYF(config)# ssh timeout 30 //设置超时时间,单位为分钟
ASA-ZDYF(config)# ssh version 2 //指定SSH版本,可以选择版本2
ASA-ZDYF(config)# username XXXX password XXXX //创建本地账号
ASA-ZDYF(config)# aaa authentication ssh console LOCAL //为SSH启用域认证
和本地认证,LOCAL一定要大些,防止网络出现问题同步不了域用户的情况下使用本地账号;
5、 SSL VPN的配置
(1) 启动webvpn、加载svc、启动svc、启动tunnel-group
ASA-ZDYF(config)# webvpn
ASA-ZDYF(config-webvpn)# enable
ASA-ZDYF(config-webvpn)# svc image flash:/
ASA-ZDYF(config-webvpn)# svc enable
ASA-ZDYF(config-webvpn)# tunnel-group-list enable
(2) 配置组策略
ASA-ZDYF(config)# group-policy svc-1 internal
ASA-ZDYF(config)# group-policy svc-1 attributes
ASA-ZDYF(config-group-policy)# vpn-tunnel-protocol webvpn svc
ASA-ZDYF(config-group-policy)# webvpn
ASA-ZDYF(config-group-webvpn)# svc keep-installer installed
(3) 配置本地用户属性
ASA-ZDYF(config)# username zdyf attributes
ASA-ZDYF(config-username)# vpn-group-policy svc-1
(4) 配置SSL VPN地址池
ASA-ZDYF(config)# ip local pool ssl-pool-1 192.168.10.100-192.168.10.200 mask
255.255.255.0
(5) 配置组
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 type remote-access
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 general-attributes
ASA-ZDYF(config-tunnel-general)# address-pool ssl-pool-1
ASA-ZDYF(config-tunnel-general)# default-group-policy svc-1
(6) 配置组webvpn属性
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 webvpn-attributes
ASA-ZDYF(config-tunnel-webvpn)# group-alias unifun enable //给组重命名并启用
(7) 配置VPN数据流不做nat翻译
ASA-ZDYF(config)# access-list go-vpn extended permit ip 10.10.10.0 255. 255.255.0
192.168.10.0 255.255.255.0 //源地址为内网网段,目标地址为VPN地址池网段;
ASA-ZDYF(config)# nat (inside) 0 access-list go-vpn
(8) 配置隧道隔离(防止一连上VPN后上不了网)
ASA-ZDYF(config)# access-list split-ssl extended permit ip 10.10.10.0 255.255.255.0
any //源地址为内网网段,目标地址始终为any;
ASA-ZDYF(config)# group-policy svc-1 attributes
ASA-ZDYF(config-group-policy)# split-tunnel-policy tunnelspecified
ASA-ZDYF(config-group-policy)# split-tunnel-network-list value split-ssl
(9) 配置内网接口既作为VPN客户的接入端口,同时也作为解密流量的出口
ASA-ZDYF(config)# interface gigabitEthernet 0/0
ASA-ZDYF(config-if)# same-security-traffic permit intra-interface
ASA-ZDYF(config)# global (inside) 1 interface
ASA-ZDYF(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ASA-ZDYF(config)# access-list go-vpn permit ip 192.168.10.0 255.255.255.0
192 .168.10.0 255.255.255.0
(10) 启用LDAP同步域用户作为SSLVPN登录账号
ASA-ZDYF(config)# tunnel-group tunnel-svc-1 general-attributes
ASA-ZDYF(config-tunnel-general)# authentication-server-group LOCAL
//先使用域用户进行认证,如果网络出现问题无法同步域用户则使用本地用户登
录;
黄色字体为自定义内容