国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　對(duì)用戶進(jìn)行遠(yuǎn)程訪問功能的設(shè)置經(jīng)常會(huì)導(dǎo)致混亂，因此，怎樣才能方便快速地設(shè)置用戶遠(yuǎn)程訪問的功能?不過，現(xiàn)在你就不用再擔(dān)心了。在本文中，洛里·海德將告訴你怎樣通過簡單操作方便實(shí)現(xiàn)這一功能。

　　---------------------------------------------------------------------------------------------

　　對(duì)ASA遠(yuǎn)程訪問功能進(jìn)行設(shè)置的話，需要8個(gè)基本的步驟。

　　1. 配置身份證書

　　2. 上傳采用安全套接層協(xié)議的虛擬專用網(wǎng)客戶端鏡象到ASA上

　　3. 啟用AnyConnect虛擬專用網(wǎng)連接

　　4. 創(chuàng)建組策略

　　5. 創(chuàng)建旁路訪問列表

　　6. 創(chuàng)建連接配置文件和通道組

　　7. 配置網(wǎng)絡(luò)地址轉(zhuǎn)換豁免功能

　　8. 配置用戶帳戶

　　現(xiàn)在就讓我們一步步開始來進(jìn)行操作!

　　第一步.配置身份證書

　　在這里，我創(chuàng)建了一個(gè)普通用途的自簽署身份證書，將其命名為sslvpnkey，下面，就可以利用該證書和“外部”接口進(jìn)行聯(lián)系了。如果你希望的話，也可以采用數(shù)字認(rèn)證服務(wù)提供商VeriSign之類專業(yè)廠商提供的證書。不過這樣通常情況下是需要付費(fèi)的。

　　corpASA(config)#crypto key generate rsa label sslvpnkey

　　corpASA(config)#crypto ca trustpoint localtrust

　　corpASA(config-ca-trustpoint)#enrollment self

　　corpASA(config-ca-trustpoint)#fqdn sslvpn. mycompany.com

　　corpASA(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com

　　corpASA(config-ca-trustpoint)#keypair sslvpnkey

　　corpASA(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

　　corpASA(config)# trust-point localtrust outside

　　第二步.上傳采用安全套接層協(xié)議的虛擬專用網(wǎng)客戶端鏡象到ASA上

　　你可以到思科的官方網(wǎng)站上下載客戶端的鏡象。如果你選擇利用簡單文件傳輸協(xié)議下載鏡象的話，務(wù)必記住需要為用戶所有版本的都下載相應(yīng)的鏡象。在下載完鏡象后，就可以將戶端軟件利用簡單文件傳輸協(xié)議上傳到ASA上。

　　corpASA(config)#copy tftp://192.168.81.50/anyconnect-win-2.0.0343-k9.pkg flash

　　在文件上傳到ASA后，你可以選擇利用webvpn對(duì)其進(jìn)行配置。請務(wù)必注意，如果有多個(gè)客戶端的話，最經(jīng)常使用的客戶端具有最高優(yōu)先地位。在這種情況下，我們選擇只使用單個(gè)客戶端并將優(yōu)先級(jí)定為一。

　　corpASA(config)#webvpn

　　corpASA(config-webvpn)#svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1

　　第三步.啟用AnyConnect虛擬專用網(wǎng)連接

　　corpASA(config)#webvpn

　　corpASA(config-webvpn)#enable outside

　　corpASA(config-webvpn)#svc enable

　　第四步.創(chuàng)建組策略

　　會(huì)在客戶端連接時(shí)發(fā)揮作用，因此，需要對(duì)參數(shù)進(jìn)行設(shè)置。在這里，我們將創(chuàng)建一個(gè)組策略，并命名為SSLClient。當(dāng)客戶端進(jìn)行遠(yuǎn)程登陸的時(shí)間需要一個(gè)網(wǎng)絡(luò)IP地址，因此，我們還需要建立一個(gè)動(dòng)態(tài)主機(jī)分配協(xié)議池，不過如果網(wǎng)絡(luò)中已經(jīng)存在動(dòng)態(tài)主機(jī)分配協(xié)議服務(wù)器的話，你也可以選擇使用。

　　corpASA(config)#ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0

　　corpASA(config)#group-policy SSLCLient internal

　　corpASA(config)#group-policy SSLCLient attributes

　　corpASA(config-group-policy)#dns-server value 192.168.200.5

　　corpASA(config-group-policy)#-tunnel-protocol svc

　　corpASA(config-group-policy)#default-domain value mysite.com

　　corpASA(config-group-policy)#address-pools value SSLClientPool

　　第五步.創(chuàng)建旁路訪問列表

　　通過使用sysopt connect命令，我們可以告訴ASA容許采用了安全套接層協(xié)議/IP層協(xié)議安全結(jié)構(gòu)的客戶端繞過訪問控制列表。

　　corpASA(config)#sysopt connection permit-vpn

　　第六步.創(chuàng)建連接配置文件和通道組

　　作為連接到ASA上的遠(yuǎn)程訪問客戶端，它們需要一個(gè)連接配置文件，通常也被叫做通道組。我們可以利用該文件設(shè)定具體的參數(shù)，為客戶端提供應(yīng)有的權(quán)限。在這里，我們將利用思科AnyConnect安全套接層協(xié)議客戶端工具對(duì)遠(yuǎn)程訪問客戶端進(jìn)行配置，不過你也可以選擇使用IP層協(xié)議安全結(jié)構(gòu)、站到站之類的其它協(xié)議。

　　首先，讓我們創(chuàng)建通道組采用安全套接層協(xié)議的客戶端

　　corpASA(config)#tunnel-group SSLClient type remote-access

　　接下來，我們就將對(duì)具體參數(shù)進(jìn)行設(shè)置：

　　corpASA(config)#tunnel-group SSLClient general-attributes

　　corpASA(config-tunnel-general)#default-group-policy SSLCLient

　　corpASA(config-tunnel-general)#tunnel-group SSLClient webvpn-attributes

　　corpASA(config-tunnel-webvpn)#group-alias MY_RA enable

　　corpASA(config-tunnel-webvpn)#webvpn

　　corpASA(config-webvpn)#tunnel-group-list enable

　　請注意，在這里MY_RA是屬于該組的用戶進(jìn)行登陸的時(shí)間看到的提示信息。

　　第七步.配置網(wǎng)絡(luò)地址轉(zhuǎn)換豁免功能

　　現(xiàn)在，我們就需要告訴ASA不必在對(duì)遠(yuǎn)程訪問客戶端和內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換操作了，它們之間可以直接訪問了。首先，我們將創(chuàng)建一個(gè)訪問控制列表，對(duì)這樣的數(shù)據(jù)傳輸進(jìn)行定義，接下來，我們將這一列表加入網(wǎng)絡(luò)地址轉(zhuǎn)換功能的項(xiàng)目中。

　　corpASA(config)#access-list no_nat extended permit

　　ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

　　corpASA(config)#nat (inside) 0 access-list no_nat

　　第八步.配置用戶帳戶

　　現(xiàn)在我們就可以建立需要的用戶帳戶了。在這里，我們將創(chuàng)建一個(gè)用戶帳戶，可以支持通過虛擬專用網(wǎng)進(jìn)行遠(yuǎn)程訪問。

　　corpASA(config)#username hyde password l3tm3in

　　corpASA(config)#username hyde attributes

　　corpASA(config-username)#service-type remote-access

　　設(shè)置完成了。

　　不要忘記將完成的配置保存在內(nèi)存中。

　　corpASA#write memory

　　建立一個(gè)遠(yuǎn)程連接來驗(yàn)證剛才創(chuàng)建的配置是否正確，并利用show命令查看連接的具體情況。

　　corpASA #show vpn-sessiondb svc

　　這個(gè)指南可以在你為用戶提供遠(yuǎn)程訪問功能的任何時(shí)間提供幫助。如果你在操作過程中遇到了問題，可以使用debug webvpn命令來進(jìn)行分析，確認(rèn)問題的根源。