cisco ASA 5520配置SSL 以后只能访问内网口同网段,无法访问内网其他...

发布网友发布时间：2024-04-27 03:20

共1个回答

热心网友时间：2024-04-27 22:29

应该要配置隧道分离，给你个配置事例参考希望有帮助
c7206(config)# int fa0/0
c7206(config-if)# ip add 198.1.1.1 255.255.255.0
c7206(config-if)# no shutdown
c7206(config-if)# exit
!
c7206(config)# int fa2/0
c7206(config-if)# ip add 10.10.1.1 255.255.255.0
c7206(config-if)# no shutdown
c7206(config-if)# exit
!
c7206(config)# aaa new-model
c7206(config)# aaa authentication login default local
!为防止控制台超时而造成无法进入Exec，因此设置一个默认的认证方法，此配置与WebVPN无关。
!
c7206(config)# aaa authentication login aaa-webvpn local
c7206(config)# username steve6307 password cisco
!定义WebVPN认证方法
!
c7206(config)# webvpn gateway mygateway
c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443
c7206(config-webvpn-gateway)# inservice
!定义WebVPN在哪个接口上进行监听，此时IOS会自动产生自签名证书。
!
c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# gateway mygateway domain group1
c7206(config-webvpn-context)# aaa authentication list aaa-webvpn
c7206(config-webvpn-context)# inservice
!在IOS中，WebVPN的context相当于ASA的tunnel-group
!在IOS中，domain相当于ASA的group-alias
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

2、配置SSLVPN。

将7206的disk0:格式化。

c7206# format disk0:
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

将SVC拷贝到7200的disk0:（flash）中。
注意：使用dynamips模拟器的话，最好通过ftp来拷贝文件！

c7206(config)# ip ftp username cisco
c7206(config)# ip ftp password cisco
!
c7206# copy ftp disk0:
Address or name of remote host []? 202.195.30.66
Source filename []? sslclient-win-1.1.2.169.pkg
Destination filename [sslclient-win-1.1.2.169.pkg]?
Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...
Loading sslclient-win-1.1.2.169.pkg !!
[OK - 415090/4096 bytes]

415090 bytes copied in 22.900 secs (18126 bytes/sec)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

安装SVC。

c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

c7206(config)# int loopback0
c7206(config-if)# ip address 192.168.10.254 255.255.255.0
c7206(config-if)# exit
!IOS中，如果地址池不和内网在一个段，则需创建一个loopback接口。
!
c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99
!
c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# policy group context1-policy
c7206(config-webvpn-group)# functions svc-enabled
c7206(config-webvpn-group)# svc address-pool ssl-user
c7206(config-webvpn-group)# exit
!允许用户进行SSL VPN。
!
c7206(config-webvpn-context)# default-group-policy context1-policy
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3、配置SSL VPN隧道分离（可选）。

c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# policy group context1-policy
c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0

测试OK