又有n久没来这里了,今天总算是有时间有心情来这里看看,该更新博客了。

公司内外网物理分离,领导要求能通过外网访问内网的OA服务器。通过查找资料,对asa5510进行了如下配置,可以实现该目的。

1.在外网口上启动web***,并同时启动ssl ***功能

asa(config)#web***
asa(config-web***)#enable outside
asa(config-web***)#svc p_w_picpath disk0:/sslclient-win-1.1.2.169.pkg   加载
asa(config-web***)#svc enable

2.创建ssl ***用户地址池

asa(config)#ip local pool go-*** 10.10.30.180-10.10.30.199

!设置SSL ×××数据不作nat翻译(貌似没有什么作用)
asa(config)# access-list goto-*** permit ip 0.0.0.0 255.255.255.0 10.10.30.0 255.255.255.0
asa(config)# nat (inside) 0 access-list goto-***


3.web ***隧道组与策略组配置

创建名为myssl***-group-policy的组策略

asa(config)#group-policy myssl***-group-policy internal
asa(config)#group-policy myssl***-group-policy attributes
asa(config-group-policy)#***-tunnel-protocol web*** svc         该隧道组选用web***功能

在组策略中启用ssl ***

asa(config-group-policy)#web***
asa(config-group-web***)#svc enable
asa(config-group-web***)#exit
asa(config-group-policy)#exit

4.创建ssl ***用户

asa(config)#web***
asa(config-web***)#username test password cisco

把myssl***-group-policy策略赋予用户test

asa(config)#username test attributes
asa(config-username)#***-group-policy myssl***-group-policy
asa(config-username)#exit
asa(config)#tunnel-group myssl***-group type web***   创建一个名为myssl***-group的web***隧道组

使用用户地址池
asa(config)#tunnel-group myssl***-group general-attributes
asa(config-tunnel-general)#address-pool go-***
asa(config-tunnel-general)#exit
asa(config)#tunnel-group myssl***-group web***-attributes
asa(config-tunnel-web***)#group-alias group2 enable
asa(config-tunnel-web***)#exit
asa(config)#web***
asa(config-web***)#tunnel-group-list enable    激活别名,必须要执行的命令

https://ip 可以访问web ***,在弹出的对话框中输入用户名和密码就可以登陆,会弹出要求安装ssl *** client的程序,进行安装即可。