• / 32
  • 下载费用:10 金币  

SSLVPN RADIUS分组认证.doc

关 键 词:
SSLVPN RADIUS分组认证.doc
资源描述:
ASA SSLVPN使用radius服务器验证实验拓扑:需求:1、使用Windows2008 NPS做为Radius服务器实现ASA的VPN用户拨入;2、针对不同的用户,不允许手动指定策略组,而是自动分配相应的策略组;实现功能:1、在AD上,基于组对用户进行分类,分别为sslvpn-1和sslvpn-2;2、sslvpn-1和sslvpn-2的用户均可以拨入vpn;3、两个组分别获取不同的group-police策略;基本配置:路由器及PC配置基本的IP地址,网关,默认路由,以及NAT。具体的IP信息见拓扑。ASA:1、接口及nat、路由:interface GigabitEthernet0/0 nameif outside security-level 0 ip address 100.100.2.1 255.255.255.0 !interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.2.254 255.255.255.0object network local subnet 192.168.2.0 255.255.255.0 nat (inside,outside) dynamic interfaceroute outside 0.0.0.0 0.0.0.0 100.100.2.254 2、地址池ip local pool vpnpool 10.0.0.1-10.0.0.10 mask 255.255.255.0ip local pool vpnpool-2 20.0.0.1-20.0.0.10 mask 255.255.255.0ip local pool default-pool 50.0.0.1-50.0.0.10 mask 255.255.255.03、验证服务器配置aaa-server 2008radius protocol radiusaaa-server 2008radius (inside) host 192.168.2.11 key cisco123\\这里的key,要跟radius服务器上设置的密码一致;必须先配置协议类型,才可以指定服务器IP地址;4、VPN基本配置1、一、二阶段基本配置crypto ipsec ikev1 transform-set vpnset esp-3des esp-md5-hmac crypto ipsec security-association pmtu-aging infinitecrypto dynamic-map dmap 10 set ikev1 transform-set vpnsetcrypto map vpnmap 10 ipsec-isakmp dynamic dmapcrypto map vpnmap interface outsidecrypto ca trustpool policycrypto ikev1 enable outsidecrypto ikev1 policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 864002、webvpn配置(ssl)webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-3.0.11042-k9.pkg 1 anyconnect enable\\这里不开启,禁止用户自由选择分组;3、隧道配置tunnel-group DefaultWEBVPNGroup general-attributes authentication-server-group 2008radiustunnel-group DefaultWEBVPNGroup webvpn-attributes group-alias default enable\\默认的隧道配置,默认调用group-policy DfltGrpPolicy,当我们不给用户组绑定策略时,则调用的就是DfltGrpPolicy默认策略组的配置;tunnel-group sslvpn-1 type remote-accesstunnel-group sslvpn-1 general-attributes address-pool vpnpool authentication-server-group 2008radius default-group-policy gp-sslvpn-1tunnel-group sslvpn-1 webvpn-attributes group-alias sslvpn-1 enabletunnel-group sslvpn-1 ipsec-attributes ikev1 pre-shared-key ciscotunnel-group sslvpn-2 type remote-accesstunnel-group sslvpn-2 general-attributes address-pool vpnpool-2 authentication-server-group 2008radius default-group-policy gp-sslvpn-2tunnel-group sslvpn-2 webvpn-attributes group-alias sslvpn-2 enabletunnel-group sslvpn-2 ipsec-attributes ikev1 pre-shared-key cisco注:1、每个隧道都配置了验证服务器authentication-server-group 2008radius;2、虽然配置了group-alias,但是在webvpn属性中未开启,并不生效;3、每个隧道必须关联一个group-policy;4、组策略配置group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split address-pools value default-pool\\默认的组策略,配置包括:1、vpn类型;2、切分通道;3、地址池;group-policy gp-sslvpn-1 internalgroup-policy gp-sslvpn-1 attributes banner value welcome to Group-1 vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split-1 address-pools value vpnpool\\为sslvpn-1组准备的组策略,包括:1、banner信息;2、vpn类型;3、切分通道;4、地址池;group-policy gp-sslvpn-2 internalgroup-policy gp-sslvpn-2 attributes banner value welcome to Group-2 vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split-2 address-pools value vpnpool-2\\为sslvpn-2组准备的组策略,包括:1、banner信息;2、vpn类型;3、切分通道;4、地址池;注:1、当不为用户锁定组策略的时候,默认调用DfltGrpPolicy,这个默认的组策略;2、锁定组策略后,用户将根据配置获取不同的配置信息;(IP地址、切分通道)Radius服务器配置1、安装AD,这里不做详细介绍;2、安装NPS如图:\\在域中注册NPS服务器,这里是已经注册过,所以显示灰色;3、配置Radius服务器:1、新建Radius客户端共享秘钥需要用在ASA指定服务器时候配置key的时候;2、连接策略\\这里必须指定一个连接条件;\\这里我们指定客户端友好名称,在创建Radius客户端时已配置的名称;//这里一定要选择CHAP和PAP,跟NAS设备和终端用的协议有关;(具体信息不详)3、网络策略//这里就是关联用户组的操作了;进行此步骤之前,现在AD上配置用户和用户组//配置2个用户和2个组,2个用户分属于不通的组;//在此吧AD里的用户组添加进来;//使用同样的方法,添加第二个sslvpn的用户组,配置完成后:4、测试用户ASA上执行:test aaa-server authentication 2008radius host 192.168.2.11 username dengming password Cisco123test aaa-server authentication 2008radius host 192.168.2.11 username weixiuwen password Cisco123显示验证成功5、vpn拨号//这里用哪一个用户都一样;//看到获取的IP地址是ASA上默认组策略配置的地址池地址;//切分通道的地址段,也是默认策略中配置的此时用户拨入还没有收到分组的信息,所有在Radius上还需要配置策略,使得连个用户能够获取不同的组策略;6、为用户指定组策略//回到NPS—策略—网络策略,双击刚才创建的一个策略;\\添加一个Radius属性;//输入ASA上配置的相应的group-policy的组名;\\为另一个添加相应的组策略,完成。再次拨号:组1用户dengming://出现了组1的banner;//获取组1的地址池IP,和切分通道ACL;组2用户weixiuwen:完毕
展开阅读全文
  微传网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:SSLVPN RADIUS分组认证.doc
链接地址:https://www.weizhuannet.com/p-11373806.html
微传网是一个办公文档、学习资料下载的在线文档分享平台!

网站资源均来自网络,如有侵权,请联系客服删除!

 网站客服QQ:80879498  会员QQ群:727456886

copyright@ 2018-2028 微传网络工作室版权所有

     经营许可证编号:冀ICP备18006529号-1 ,公安局备案号:13028102000124

收起
展开