今天北京思科防火墙代理给大家带来的是思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析。
安全套接层-俗称Secure Socket Layer (SSL) 是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based运用安全,SSL在TCP层和应用层之间,就像应用层连接到TCP连接的一个插口。这是和IPSEC进行的对比,因为IPSec不仅对应用层负载加密,对TCP包头也会加密。
那么?
为什么实际环境中远程拨号的VPN我们基本上都是选择SSL 这种VPN呢,为什么不选择IPSEC 呢,L2TP或者是PPTP呢?
首先,IPSEC VPN做远程拨号,每个厂家都有一个独立的客户端,并且需要提前准备(SSL VPN支持无客户端模式并且如果需要下载也是网页直接推送,不需要提前准备),而PPTP和L2TP这两种基于VPDN技术的VPN技术功能非常有限,基本也就只能保证网络通。
SSL VPN有三种工作模型,分别为无客户端、瘦客户端和厚客户端。
无客户端只能支持浏览器所支持的一些应用,比如HTTP、HTTPS、CIFS等。
瘦客户端使用起来非常不方便,因为不建议使用。下面我要介绍的是最常用的一种模型---厚客户端模型,厚客户端支持所有的IP协议,但是需要下载一个思科的应用程序。
下面我在SSL VPN设备(思科ASA防火墙)做相关配置:
首先查看ASA的硬盘里面是否有SSL VPN的客户端文件,如果没有需要自己搭建FTP服务器进行上传,或者直接通过思科ASDM管理端直接加载,下面我演示一下通过CLI把FTP服务器(一台WIN7的PC)里面anyconnect插件上传到ASAv的Flash里面,
ASA(config)#copyftp://admin:Admin123@10.1.1.101/anyconnect-k9.pkg flash:/anyconnect-k9.pkg。
admin是FTP服务器的登录用户名,Admin123是FTP服务器登录密码,10.1.1.101是FTP服务器IP地址,anyconnect-k9.kpg是上传的文件,flash:意思是上传到flash的根目录。
ip local pool CCIESEC 172.16.3.100-172.16.3.200 ||创建一个SSL VPN拨号地址池
username ssluser password CCIEo123 ||创建SSL VPN拨号的用户名和密码
webvpn ||进入到webvpn配置视图
anyconnect image flash:/anyconnect-k9.pkg ||ssl vpn所需插件目录
anyconnect enable ||开启anyconnect服务
group-policy CCIE internal ||创建一个名字叫CCIE的组策略
group-policy CCIE attributes ||为名字叫CCIE的组策略关联属性
vpn-tunnel-protocol ssl-client ssl-clientless ||开启客户端和无客户端协议的功能,默认只开启了无客户端协议的功能
address-pools value CCIESEC ||把SSL VPN地址池赋予给名字叫CCIE的组
username ssluser attributes ||给用户赋予属性
vpn-group-policy CCIE
以上就是北京联信永成整理的思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析。如果您还有其它相关问题,欢迎联系我们。
相关文章
- 快来和北京联系永成看看思科交换机的工作模式有哪些2020年08月12日
- 北京代理商告诉你100条思科交换机的高级配置命令2020年07月04日
- 北京思科防火墙代理商带您了解思科防火墙的基本配置2019年08月23日
- 北京思科交换机代理商:CCNP认证助您脱颖而出2020年04月03日
- 这些思科交换机的基础配置命令你知道吗?2020年07月04日