SSL ***的胖客户端模式配置操作全过程

拓扑图如下所示：ASA防火墙作为企业内部的一台出口网关兼硬件防火墙设备，内部服务器server 2008服务器提供web服务。

中间是模拟ISP运行商，右边是作为公网上的一台路由器，下面是公网上面的一台普通客户机，这里使用的是XP系统。

首先如果是GNS3模拟器SW1需要关闭路由功能。

ISP运营商还是只需要配置IP地址即可（过程略）。

R3上面作为公网上的一台出口网关路由器，配置DHCP地址分配和NAT地址转换功能。如下所示：

R3(config)#int fa0/0
R3(config-if)#ip add 20.0.0.1 255.255.255.0
R3(config-if)#no shut
R3(config)#int fa0/1
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2
R3(config)#ip dhcp pool zhang
R3(dhcp-config)#network 192.168.20.0 255.255.255.0 
R3(dhcp-config)#default-router 192.168.20.1
R3(dhcp-config)#dns 8.8.8.8 
R3(dhcp-config)#lease 7
R3(dhcp-config)#ex
R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)#ip nat inside source list 1 int fa0/0 overload 
R3(config)#int fa0/0
R3(config-if)#ip nat outside
R3(config)#int fa0/1
R3(config-if)#ip nat inside

ASA防火墙首先配置IP地址、默认路由等属性。如果是GNS3需要设置可以保存配置文件的功能属性。

# /mnt/disk0/lina_monitor  //此时会重新加载防火墙数据
ciscoasa>  //加载完成重新启动防火墙（右击防火墙选择stop 然后再选择start）

ciscoasa>enable  //此时是重启之后
Password:   //直接回车
ciscoasa# conf t 
ciscoasa(config)# hostname ASA  //这是修改主机名
ASA(config)# copy running-config disk0:/.private/startup-config //复制running-config中的运行文件到disk0中名称为starrtup-config
Source filename [running-config]?      //下面直接回车就行了
Destination filename [/.private/startup-config]? 
Cryptochecksum: d847d487 be2324f6 5058c694 ec96aba7 
1466 bytes copied in 2.400 secs (733 bytes/sec)open(ffsdev/2/write/41) failed
open(ffsdev/2/write/40) failed
ASA(config)# boot config disk0:/.private/startup-config //启动文件生成之后，引导启动配置文件，此时就可以保存配置文件了。可以使用write试试
ASA(config)# int e0/0
ASA(config-if)# ip add 192.168.10.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif inside //配置inside区域端口IP地址
ASA(config-if)# ex
ASA(config)# int e0/1
ASA(config-if)# ip add 10.0.0.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif outside //配置outside区域端口IP地址
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ex
ASA(config)# route outside 0 0 10.0.0.2

以上准备工作配置完成，下面就可以使用XP客户端进行ping命令测试。进入虚拟机进行如下测试（当然是连接VMnet8网卡）。

下面打开Server 2008虚拟机，配置IP地址以及搭建web服务器（连接VMnet1网卡）。

打开服务器管理器，点击添加角色，然后根据向导添加web服务即可。

然后把下载好的安全控件和TFTP软件拷贝到Server 2008服务器，打开TFTP终端软件，准备上传控件到ASA防火墙。

下面继续进行ASA配置，上传X控件到ASA防火墙的disk0，其实也就是相当于硬盘中。

ASA(config)# copy tftp: disk0:  //准备上传的命令
Address or name of remote host []? 192.168.10.2 //指定上传的主机
Source filename []? sslclient-win-1.1.4.179-anyconnect.pkg  //这里提示输入需要上传的文件名称，复制粘贴文件名之后回车。
Destination filename [sslclient-win-1.1.4.179-anyconnect.pkg]? 确认回车
Accessing tftp://192.168.10.2/sslclient-win-1.1.4.179-anyconnect. pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! //这里是显示的上传进度

上传成功以后使用show disk0进行查看，如下图所示：其实做到这里可以使用write保存一下配置，再来做接下来的胖客户端配置。

下面继续做SSL ×××的胖客户端的具体配置。

ASA(config)# access-list 110 permit ip 192.168.10.0 255.255.255.0 any //建立感兴趣流量
ASA(config)# ip local pool vip 192.168.10.50-192.168.10.80 mask 255.255.255.0 //定义分给远程连接客户端的IP地址范围
ASA(config)# web***  //进入SSL ×××配置视图
ASA(config-web***)# enable outside //启用在outside区域
ASA(config-web***)# tunnel-group-list enable //开启下拉列表
ASA(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.4.179-anyconnect.pkg //指定客户端下载软件
ASA(config-web***)# svc enable //开启svc客户端软件
ASA(config)# group-policy gp internal //定义组策略属性为本地
ASA(config)# group-policy gp attributes //定义组策略各种属性
ASA(config-group-policy)# ***-tunnel-protocol svc web*** //指定组策略隧道协议，开启无客户端和胖客户端（基于无客户端）
ASA(config-group-policy)# split-tunnel-policy tunnelspecified //指定流量都从隧道里面走，隧道分离
ASA(config-group-policy)# split-tunnel-network-list value 110 //指定感兴趣流量，隧道流量
ASA(config-group-policy)# split-dns value benet.com //指定DNS域
ASA(config-group-policy)# dns-server value 9.9.9.9 //指定DNS地址
ASA(config-group-policy)# web*** //在组策略中继续进行设置
ASA(config-group-web***)# svc ask enable //表示开启客户端下载
ASA(config-group-web***)# ex
ASA(config-group-policy)# ex 
ASA(config)# username zhangsan password 123123 //创建认证用户
ASA(config)# tunnel-group tg type web*** //定义隧道组类型
ASA(config)# tunnel-group tg general-attributes //隧道组通用属性
ASA(config-tunnel-general)# address-pool vip //调用地址池
ASA(config-tunnel-general)# default-group-policy gp //调用上面配置的组策略
ASA(config-tunnel-general)# ex
ASA(config)# tunnel-group tg web***-attributes //隧道组自身属性
ASA(config-tunnel-web***)# group-alias groups enable //建立别名

好！以上配置完成ASA防火墙胖客户端的一些基本配置也就差不多了，下面是进行验证的部分。

打开XP系统虚拟机，点击浏览器输入“https://10.0.0.1”回车进行访问，会提示你输入用户名和密码进行访问。

可以看到左边的选择菜单比无客户端模式配置时多出了一项，点击之后，再点击右边的start anyconnect进行连接。

点击之后进入下面的视图，继续点击YES，下面其实就是安装的部分了，而且是图形化界面了。

之后会在地址栏下面跳出安装AxtiveX控件的提示，右击选择允许安装，然后就会进入如下的操作界面。

中途可能会提示证书不安全什么的提示没关系继续进行安装。

根据提示安装完成最后一步之后，所有的页面都会自动消失，然后再右下角会出现一个×××的小钥匙，此时就可以说明你成功了。可以打开CMD命令行工具输入ipconfig查看IP地址属性，此时比之前多了一块网卡。

此时要访问局域网内部搭建的web网站服务，可以在浏览器中直接输入局域网内部的IP地址即可。

实验完成。经验总结：最近的这些知识，我个人认为需要记的应该是原理，命令中很多部分都只是名称，不是命令。一定要细心、注意、外加小心翼翼。不成功的话，多做几遍，熟能生巧，温故而知新，总会让你搞定的。谢谢大家！！！