1、拓扑图

过程：1、首先实现ASA931（虚拟机方式）实现连接1、 用VMware打开防火墙的虚拟文件，然后开机2、 打开named pipe tcp proxy，然后新建连接，连接的pipe用虚拟机的穿想得开管道名3、用securecrt连接2002端口，就可以正常连接了，注意一点，虚拟机防火墙的的第一个端口为管理接口，接下来做基本配置ASA:interface Management0/0nameif mgmtip address 192.168.1.200 255.255.255.0no shutdown44、开一台电脑xp直接和管理接口连接，配置相同网段，并且能相互ping通，在xp上开tftpserver 后开始上传anyconnect-win-4.3.05017-k9.pkg,上传完后在ASAS上dir flash：或者dir disk0: 可以看到刚才上传的文件

2、设备的基本配置和主机的ip地址配置和服务搭建

ASA:nterface GigabitEthernet0/0nameif insidesecurity-level 100ip address 192.168.100.1 255.255.255.0no shut interface GigabitEthernet0/1nameif outsidesecurity-level 0ip address 100.0.0.1 255.255.255.0 no shroute outside 0 0 100.0.0.2R1：interface FastEthernet0/0ip address 100.0.0.2 255.255.255.0no shutinterface FastEthernet0/1ip address 200.0.0.1 255.255.255.0no shut

host1：win2003 ip 192.168.100.2 gw 192.168.100.1

DNS WEB FTP 共享host3:win7 ip 200.0.0.2 gw 200.0.0.1

3、开始在ASA防火墙上配置SSL ×××

1、无客户端模式ASA# conf tASA(config)# web*** ASA(config-web***)# enable outside ASA(config-web***)# exitASA(config)# username cisco password 123ASA(config)# group-policy ***-group internal \策略定义在本地，external定义在第三方服务器ASA(config)# group-policy ***-group attributes ASA(config-group-policy)# ***-tunnel-protocol ssl-clientless #asa8xx版本要用web***的隧道协议ASA(config-group-policy)# exitASA(config)# tunnel-group ***-tunnel-group type web*** ASA(config)# tunnel-group ***-tunnel-group general-attributes ASA(config-tunnel-general)# default-group-policy ***-groupASA(config-tunnel-general)# authentication-server-group LOCAL ASA(config-tunnel-general)# exitASA(config)# tunnel-group ***-tunnel-group web***-attributes ASA(config-tunnel-web***)# group-alias groups enable ASA(config-tunnel-web***)# exitASA(config)# web*** ASA(config-web***)# tunnel-group-list enable ASA(config-web***)# no anyconnect-essentials #asa8xx版本中不需要关闭此功能ASA(config-web***)# exit//anyconnect-essentials指的是***许可证测试：在客户机上打开浏览器输入https://100.0.0.1 输入cisco 密码123登录然后可以用http https ftp cifs方式访问服务器了如：http：//192.168.100.2 cifs://192.168.100.2

禁用无客户端模式的访问权限：

ASA (config)# group-policy ***_group attributes ASA (config-group-policy)# web***ASA (config-group-web***)# url-entry disable ASA (config-group-web***)# file-entry disable

利用现有的ftp服务器上传url文件

ASA# import web*** url-list url_list1 ftp://10.0.0.1/url_list1.xmlASA# show import web*** url-list ASA# conf t ASA(config)# group-policy ***_group attributes ASA(config-group-policy)# web***ASA(config-group-web***)# url-list value url_list1

如果想要删除url_list1，可执行下列两条语句

ASA(config-group-web***)# no url-list value url_list1 \删除ASA(config-group-web***)# revert web*** url-list url_list1

验证：

客户端登陆到200.0.0.1，发现输入地址的地方已经没有了，只有指定的web1可以访问注意：这种限制只对无客户端有效，在胖客户端下，由于用户可以全网络层访问，所以客户可以在连接成功后直接访问所需的资源。2、胖客户端模式ASA(config)# username ciscot password 123ASA(config)# web*** \进入ssl ***配置视图ASA(config-web***)# enable outside \在outside接口启用ssl ***功能ASA(config-web***)# anyconnect-essentialsASA(config-web***)# anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkgASA(config-web***)# anyconnect enableASA(config-web***)# tunnel-group-list enable \启用下拉列表ASA(config-web***)# exitASA(config)# ip local pool ssl***_pool 192.169.1.100-192.169.1.200//定义组策略ASA(config)# group-policy ***_group_policy internal \配置本地组策略属性ASA(config)# group-policy ***_group_policy attributes \配置组策略的属性ASA(config-group-policy)# ***-tunnel-protocol ssl-client ssl-clientlessASA(config-group-policy)# web***ASA(config-group-web***)# anyconnect ask enable \允许客户端下载ASA(config-group-web***)# exitASA(config-group-policy)# exit

//定义隧道组（第一个隧道组，组名为***_group）

ASA(config)# tunnel-group ***_group type web*** \定义隧道组，类型为ssl ***ASA(config)# tunnel-group ***_group general-attributes \配置隧道组通用属性ASA(config-tunnel-general)# address-pool ssl***_pool \指定隧道组的地址池ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定该组的组策略ASA(config-tunnel-general)# exitASA(config)# tunnel-group ***_group web***-attributes \定义隧道组的ssl ***属性ASA(config-tunnel-web***)# group-alias jishubu enable \为该隧道组设置别名ASA(config-tunnel-web***)# exit

//配置隧道分离和DNS分离

ASA(config)# access-list split_tunnel permit ip 10.0.0.0 255.255.255.0 anyASA(config)# group-policy ***_group_policy attributes ASA(config-group-policy)# split-tunnel-policy tunnelspecified

//配置隧道分离：tunnelspecified匹配的走隧道

tunnall 所有的都走隧道untunnelspecified不匹配的走隧道

ASA(config-group-policy)# split-tunnel-network-list value split_tunnel

ASA(config-group-policy)# dns value 10.0.0.1 \设置dns分离ASA(config-group-policy)# split-dns value benet.com \需要分离的域名ASA(config-group-policy)# exit

//配置用户属于固定隧道组（第二个隧道组，组名为***_group1）

ASA(config)# tunnel-group ***_group1 type web*** \设置第二个隧道则ASA(config)# tunnel-group ***_group1 general-attributes \定义隧道通用属性ASA(config-tunnel-general)# address-pool ssl***_pool \设置地址池ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定组策略ASA(config-tunnel-general)# exitASA(config)# tunnel-group ***_group1 web***-attributes \设置隧道的***属性ASA(config-tunnel-web***)# group-alias caiwubu enable \指定别名ASA(config-tunnel-web***)# exitASA(config)# username cisco attributes \定义用户属性ASA(config-username)# group-lock value ***_group \将用户锁定在***_group组中，这样，该用户就不能使用其他组的组名登录

测试：

在客户端第一次访问还是用https://100.0.0.1，然后下载客户端，并安装（一定要有管理员权限），然后用客户端连接就可以了，和easy ***的客户端类似了http：//192.168.100.2 ftp://192.168.100.2\192.168.100.2