SSL ***的无客户端配置实验_第1张图片

实验目的:主要是通过在ASA防火墙做SSL ×××的无客户端模式,来使得公网上的一台客户机能够通过加密隧道来访问局域网内部的资源。拓扑比较简单,主要是原理,配置过程如下:

ISP运营商的配置,只需要配置IP地址即可。

ISP(config)#int fa0/0
ISP(config-if)#ip add 10.0.0.2 255.255.255.0
ISP(config-if)#no shut
ISP(config)#int fa0/1
ISP(config-if)#ip add 20.0.0.2 255.255.255.0
ISP(config-if)#no shut

R3作为公网上的一台出口网关路由器,存活在末梢网络,需要配置一条默认路由和DHCPNAT地址转换,配置如下。

R3(config)#int fa0/0
R3(config-if)#ip add 20.0.0.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#int fa0/1 
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2//默认路由
R3(config)#ip dhcp pool zhang //配置DHCP分配给客户机IP
R3(dhcp-config)#network 192.168.20.0 255.255.255.0
R3(dhcp-config)#default-router 192.168.20.1
R3(dhcp-config)#lease 7
R3(dhcp-config)#dns 8.8.8.8
R3(dhcp-config)#ex
R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255 
R3(config)#ip nat inside source list 1 interface fa0/0 overload//配置NAT地址转换,使用端口复用的形式。
R3(config)#int fa0/0 
R3(config-if)#ip nat outside
R3(config-if)#ex //应用为outside端口
R3(config)#int fa0/1
R3(config-if)#ip nat inside //应用为inside接口

下面是ASA的一些基本配置。

ASA(config)# int e0/0
ASA(config-if)# ip add 192.168.10.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif inside //配置inside内部区域IP地址
ASA(config-if)# ex
ASA(config)# int e0/1
ASA(config-if)# ip add 10.0.0.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif outside//配置outside外部区域的IP地址
ASA(config-if)# ex
ASA(config)# route outside 0 0 10.0.0.2//配置一条外部默认路由

以上配置完成,打开win 7虚拟机连接VMnet8网卡,然后测试与ASA防火墙10.0.0.1也就是对端的连通性。

SSL ***的无客户端配置实验_第2张图片

下面配置内部局域网服务器端linux的配置,首先是IP地址配置。如下所示。

SSL ***的无客户端配置实验_第3张图片

然后启动apache网站服务,关闭防火墙和SElinux,顺便也安装一下FTP服务,用于上传和下载文件,在FTP服务的目录中创建一个文件,用于等会的测试。

SSL ***的无客户端配置实验_第4张图片

以上准备工作全部完成,下面就是配置SSL ×××的详细过程。

ASA(config)# web***  //启动SSL ×××也就是web ×××
ASA(config-web***)# enable outside //在outside端口启用
ASA(config-web***)# ex
ASA(config)# username zhangsan password 123123//配置认证用户
ASA(config)# group-policy ***-group internal //组策略定义在本地
ASA(config)# group-policy ***-group attributes //定义组策略属性
ASA(config-group-policy)# ***-tunnel-protocol web***//启用无客户端模式web***,胖客户端是svc。
ASA(config-group-policy)# ex
ASA(config)# tunnel-group suidao type web*** //定义隧道组类型
ASA(config)# tunnel-group suidao general-attributes//定义隧道组通用属性
ASA(config-tunnel-general)# default-group-policy ***-group//调用上面定义的组策略
ASA(config-tunnel-general)# authentication-server-group LOCAL//使用本地认证方式
ASA(config-tunnel-general)# ex
ASA(config)# tunnel-group suidao web***-attributes //定义自身属性
ASA(config-tunnel-web***)# group-alias groups enable //建立别名
ASA(config-tunnel-web***)# ex
ASA(config)# web*** //进入SSL ×××配置视图
ASA(config-web***)# tunnel-group-list enable//启用隧道组下拉列表
ASA(config-web***)# ex

到此SSL ×××的一些配置就完成了,下面打开win 7客户机的浏览器,输入“https//对端IP”进行连接,要等个十几二十秒。

SSL ***的无客户端配置实验_第5张图片

连接成功之后,会出现提示上输入用户名和密码的界面,然后输入创建的认证用户名和密码,点击logon登陆。

SSL ***的无客户端配置实验_第6张图片

然后就会进入下面这个界面,此时就已经连接成功了,在中间的地址栏中输入内部服务器linuxIP地址进行访问即可。

SSL ***的无客户端配置实验_第7张图片

下面是成功访问linux搭建的apache服务网站。

SSL ***的无客户端配置实验_第8张图片

再继续来测试一下FTP服务,在address地址的位置下拉选择FTP,然后在后面输入IP地址。回车进行访问。

SSL ***的无客户端配置实验_第9张图片

可用看到linuxFTP服务器目录下的两个文件,直接点击下载或者打开,查看文件里面的内容。

SSL ***的无客户端配置实验_第10张图片

实验完成,此次实验的目的主要在于ASA放火墙的SSL ×××配置,当然的了前提条件的网络拓扑要正常能够连通才行。