SSL ***的胖客户端模式配置操做全过程

时间  2020-07-29
标签 ssl 客户端 模式 配置 全过程 栏目 SSL 繁體版
原文   原文链接

拓扑图以下所示:ASA防火墙做为企业内部的一台出口网关兼硬件防火墙设备,内部服务器server 2008服务器提供web服务。web

中间是模拟ISP运行商,右边是做为公网上的一台路由器,下面是公网上面的一台普通客户机,这里使用的是XP系统。浏览器

wKiom1W90GTTm7RvAAGWJ3eTxAc801.jpg

首先若是是GNS3模拟器SW1须要关闭路由功能。安全

ISP运营商仍是只须要配置IP地址便可(过程略)。bash

R3上面做为公网上的一台出口网关路由器,配置DHCP地址分配和NAT地址转换功能。以下所示:服务器

R3(config)#int fa0/0
R3(config-if)#ip add 20.0.0.1 255.255.255.0
R3(config-if)#no shut
R3(config)#int fa0/1
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2
R3(config)#ip dhcp pool zhang
R3(dhcp-config)#network 192.168.20.0 255.255.255.0 
R3(dhcp-config)#default-router 192.168.20.1
R3(dhcp-config)#dns 8.8.8.8 
R3(dhcp-config)#lease 7
R3(dhcp-config)#ex
R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)#ip nat inside source list 1 int fa0/0 overload 
R3(config)#int fa0/0
R3(config-if)#ip nat outside
R3(config)#int fa0/1
R3(config-if)#ip nat inside

ASA防火墙首先配置IP地址、默认路由等属性。若是是GNS3须要设置能够保存配置文件的功能属性。ide

# /mnt/disk0/lina_monitor  //此时会从新加载防火墙数据
ciscoasa>  //加载完成从新启动防火墙(右击防火墙选择stop 而后再选择start)

ciscoasa>enable  //此时是重启以后
Password:   //直接回车
ciscoasa# conf t 
ciscoasa(config)# hostname ASA  //这是修改主机名
ASA(config)# copy running-config disk0:/.private/startup-config //复制running-config中的运行文件到disk0中名称为starrtup-config
Source filename [running-config]?      //下面直接回车就好了
Destination filename [/.private/startup-config]? 
Cryptochecksum: d847d487 be2324f6 5058c694 ec96aba7 
1466 bytes copied in 2.400 secs (733 bytes/sec)open(ffsdev/2/write/41) failed
open(ffsdev/2/write/40) failed
ASA(config)# boot config disk0:/.private/startup-config //启动文件生成以后,引导启动配置文件,此时就能够保存配置文件了。可使用write试试
ASA(config)# int e0/0
ASA(config-if)# ip add 192.168.10.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif inside //配置inside区域端口IP地址
ASA(config-if)# ex
ASA(config)# int e0/1
ASA(config-if)# ip add 10.0.0.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif outside //配置outside区域端口IP地址
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ex
ASA(config)# route outside 0 0 10.0.0.2

以上准备工做配置完成,下面就可使用XP客户端进行ping命令测试。进入虚拟机进行以下测试(固然是链接VMnet8网卡)。工具

wKioL1W90ljiR7t7AAIPsp_SxdU686.jpg

下面打开Server 2008虚拟机,配置IP地址以及搭建web服务器(链接VMnet1网卡)。测试

wKiom1W90GTCu82qAAMvy408i04732.jpg

打开服务器管理器,点击添加角色,而后根据向导添加web服务便可。网站

wKioL1W90lmTbn0pAAO8vYn_A1E657.jpg

而后把下载好的安全控件和TFTP软件拷贝到Server 2008服务器,打开TFTP终端软件,准备上传控件到ASA防火墙。spa

wKiom1W90GWioL95AAIi-NAsnA4524.jpg

下面继续进行ASA配置,上传X控件到ASA防火墙的disk0,其实也就是至关于硬盘中。

ASA(config)# copy tftp: disk0:  //准备上传的命令
Address or name of remote host []? 192.168.10.2 //指定上传的主机
Source filename []? sslclient-win-1.1.4.179-anyconnect.pkg  //这里提示输入须要上传的文件名称,复制粘贴文件名以后回车。
Destination filename [sslclient-win-1.1.4.179-anyconnect.pkg]? 确认回车
Accessing tftp://192.168.10.2/sslclient-win-1.1.4.179-anyconnect. pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! //这里是显示的上传进度

上传成功之后使用show disk0进行查看,以下图所示:其实作到这里可使用write保存一下配置,再来作接下来的胖客户端配置。

wKioL1W90lmxTZX-AAVSf7T23sg486.jpg

下面继续作SSL ×××的胖客户端的具体配置。

ASA(config)# access-list 110 permit ip 192.168.10.0 255.255.255.0 any //创建感兴趣流量
ASA(config)# ip local pool vip 192.168.10.50-192.168.10.80 mask 255.255.255.0 //定义分给远程链接客户端的IP地址范围
ASA(config)# web***  //进入SSL ×××配置视图
ASA(config-web***)# enable outside //启用在outside区域
ASA(config-web***)# tunnel-group-list enable //开启下拉列表
ASA(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.4.179-anyconnect.pkg //指定客户端下载软件
ASA(config-web***)# svc enable //开启svc客户端软件
ASA(config)# group-policy gp internal //定义组策略属性为本地
ASA(config)# group-policy gp attributes //定义组策略各类属性
ASA(config-group-policy)# ***-tunnel-protocol svc web*** //指定组策略隧道协议,开启无客户端和胖客户端(基于无客户端)
ASA(config-group-policy)# split-tunnel-policy tunnelspecified //指定流量都从隧道里面走,隧道分离
ASA(config-group-policy)# split-tunnel-network-list value 110 //指定感兴趣流量,隧道流量
ASA(config-group-policy)# split-dns value benet.com //指定DNS域
ASA(config-group-policy)# dns-server value 9.9.9.9 //指定DNS地址
ASA(config-group-policy)# web*** //在组策略中继续进行设置
ASA(config-group-web***)# svc ask enable //表示开启客户端下载
ASA(config-group-web***)# ex
ASA(config-group-policy)# ex 
ASA(config)# username zhangsan password 123123 //建立认证用户
ASA(config)# tunnel-group tg type web*** //定义隧道组类型
ASA(config)# tunnel-group tg general-attributes //隧道组通用属性
ASA(config-tunnel-general)# address-pool vip //调用地址池
ASA(config-tunnel-general)# default-group-policy gp //调用上面配置的组策略
ASA(config-tunnel-general)# ex
ASA(config)# tunnel-group tg web***-attributes //隧道组自身属性
ASA(config-tunnel-web***)# group-alias groups enable //创建别名

好!以上配置完成ASA防火墙胖客户端的一些基本配置也就差很少了,下面是进行验证的部分。

打开XP系统虚拟机,点击浏览器输入“https://10.0.0.1”回车进行访问,会提示你输入用户名和密码进行访问。

wKiom1W90GWxwW8fAAI9AOD9P4o125.jpg

能够看到左边的选择菜单比无客户端模式配置时多出了一项,点击以后,再点击右边的start anyconnect进行链接。

wKiom1W90GXTG2KlAAQjti94c5U884.jpg

点击以后进入下面的视图,继续点击YES,下面其实就是安装的部分了,并且是图形化界面了

wKioL1W90lrjmsKcAAO7nlfDMWA835.jpg

以后会在地址栏下面跳出安装AxtiveX控件的提示,右击选择容许安装,而后就会进入以下的操做界面。

wKiom1W90GXBJuaVAAN5m6SMeaE156.jpg

中途可能会提示证书不安全什么的提示不要紧继续进行安装。

wKioL1W90lqzdpMRAANxcOy0fwc810.jpg

根据提示安装完成最后一步以后,全部的页面都会自动消失,而后再右下角会出现一个×××的小钥匙,此时就能够说明你成功了。能够打开CMD命令行工具输入ipconfig查看IP地址属性,此时比以前多了一块网卡。

wKiom1W90GagZwUmAAOY8pb7kcI098.jpg

此时要访问局域网内部搭建的web网站服务,能够在浏览器中直接输入局域网内部的IP地址便可。

wKioL1W92O3RXb19AAPVZYyiR3g133.jpg

实验完成。经验总结:最近的这些知识,我我的认为须要记的应该是原理,命令中不少部分都只是名称,不是命令。必定要细心、注意、外加当心翼翼。不成功的话,多作几遍,熟能生巧,温故而知新,总会让你搞定的。谢谢你们!!!

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程