Cisco ASA Web VPN 配置详解新-2023修改整理

千里之行，始于足下让知识带有温度。第第2页/共2页精品文档推荐CiscoASAWebVPN配置详解在试验开头这前先来谈一谈ASA7.X系统中的默认隧道组和组策略。

ASA/PIX7.x系统默认在showrun时不显示默认组策略和默认隧道组，只有使用ASDM才能看到。下面列出在ASDM中看到的默认值：

默认IPSec-l2l隧道组:DefaultL2LGroup

默认IPSec-ra隧道组:DefaultRAGroup

默认WebVPN隧道组:DefaultWEBVPNGroup

默认组策略:DfltGrpPolicy

默认组策略的默认隧道协议:IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑，ASA在加载WebVPN时默认采纳DefaultWEBVPNGroup，用户自定义的WebVPN组必需在启动“tunnel-group-list”和“group-alias”后才会消失。

在下面的例子中，我没有使用ASA的默认隧道组，所以会有tunel-group-list和group-alias配置消失。

1、WebVPN服务基本配置。

Archasa(config)#inte0/0

Archasa(config-if)#ipaddress

Archasa(config-if)#nameifoutside

INFO:Securitylevelfor"outside"setto0bydefault.

Archasa(config-if)#noshut

Archasa(config-if)#exit!

Archasa(config)#inte0/1

Archasa(config-if)#ipadd0

Archasa(config-if)#nameifinside

INFO:Securitylevelfor"inside"setto100bydefault.

Archasa(config-if)#nosh

Archasa(config-if)#exit

Archasa(config)#web*

Archasa(config-web*)#enableoutside

#在外网接口上启动WebVPN!

Archasa(config)#group-policymyweb*-group-policy?

configuremodecommands/options:

externalEnterthiskeywordtospecifyanexternalgrouppolicy

internalEnterthiskeywordtospecifyaninternalgrouppolicy

#此处需要选择组策略的类型，由于我们是将策略配置在ASA本地的，所以选择Internal。

Archasa(config)#group-policymyweb*-group-policyinternal

#创建了一个名为myweb*-group-policy的Internal类型Policy。

Archasa(config)#group-policymyweb*-group-policy?

configuremodecommands/options:

attributesEntertheattributessub-commandmode

externalEnterthiskeywordtospecifyanexternalgrouppolicy

internalEnterthiskeywordtospecifyaninternalgrouppolicy

#组策略一旦创建，命令行参数中就会多出attributes选项，这是用于后面定义详细的组策略用的，目前可以保留为空。

Archasa(config)#usernametestpasswordwoaicisco

#创建一个本地用户

Archasa(config)#usernametestattributes

Archasa(config-username)#*-group-policymyweb*-group-policy

#将用户加入刚才创建的VPN策略组中

留意：ASA也支持为每用户定义单独的策略，即不用将用户加入特定的VPN策略组，直接给予权限。

留意：不过这是不推举的，由于这样配置的可扩展性太差。

Archasa(config)#tunnel-groupmyweb*-grouptypeweb*

#创建一个名为myweb*-group的web*隧道组。

Archasa(config)#tunnel-groupmyweb*-groupgeneral-attributes

Archasa(config-tunnel-general)#authentication-server-groupLOCAL

#定义该隧道组用户使用的认证服务器，这里为本地认证

Archasa(config)#web*

Archasa(config-web*)#tunnel-group-listenable

#启动组列表，让用户在登陆的时候可以选择使用哪个组进行登陆

Archasa(config)#tunnel-groupmyweb*-groupweb*-attributes

Archasa(config-tunnel-web*)#group-aliasgroup1enable

#为改组定义别名，用于显示给用户进行选择。

#到此为止，WebVPN基本配置完毕，可以开头让外网用户使用扫瞄器测试了。

WebVPN扩展功能

在实现WebVPN的基本功能以后，我们来看看WebVPN的扩展功能。主要包含以下三部分：

1、文件服务器扫瞄

2、自定义url-list

3、port-forward

1、文件服务器扫瞄

File-access功能可以让WebVPN用户使用windows共享来访问内网的Windows文件服务器。

用户要使用File-access功能，必需具备file-accessfile-entryfile-browsing权限。

留意：用户默认具备url-entry权限，即可以用url访问内网的web网页。

Archasa(config)#group-policymyweb*-group-policyattributes

Archasa(config-group-policy)#web*

Archasa(config-group-web*)#functionsurl-entryfile-accessfile-entryfile-browsing

输入\1以后可以访问到内网的共享资源。2、自定义url-list

Archasa(config)#url-listmylist"TestHomePage"2

Archasa(config)#url-listmylist"TestSite2"http://2

Archasa(config)#group-policymyweb*-group-policyattributes

Archasa(config-group-web*)#url-listvaluemylist

3、自定义port-forward

port-forward可以让WebVPN用户在外网通过WebVPN使用内网的非HTTP服务。

Archasa(config)#port-forwardport-forward-list2323123

Archasa(config)#group-policymyweb*-group-policyattributes

Archasa(config-group-policy)#web*

Archasa(config-group-web*)#functionsurl-entryfile-accessfile-entryfile-bro