實驗目的:主要是通過在ASA防火牆做SSL ***的無客戶端模式,來使得公網上的一臺客戶機能夠通過加密隧道來訪問局域網內部的資源。拓撲比較簡單,主要是原理,配置過程如下:
ISP運營商的配置,只需要配置IP地址即可。
ISP(config)#int fa0/0 ISP(config-if)#ip add 10.0.0.2 255.255.255.0 ISP(config-if)#no shut ISP(config)#int fa0/1 ISP(config-if)#ip add 20.0.0.2 255.255.255.0 ISP(config-if)#no shut
R3作爲公網上的一臺出口網關路由器,存活在末梢網絡,需要配置一條默認路由和DHCP、NAT地址轉換,配置如下。
R3(config)#int fa0/0 R3(config-if)#ip add 20.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ex R3(config)#int fa0/1 R3(config-if)#ip add 192.168.20.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ex R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2//默認路由 R3(config)#ip dhcp pool zhang //配置DHCP分配給客戶機IP R3(dhcp-config)#network 192.168.20.0 255.255.255.0 R3(dhcp-config)#default-router 192.168.20.1 R3(dhcp-config)#lease 7 R3(dhcp-config)#dns 8.8.8.8 R3(dhcp-config)#ex R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255 R3(config)#ip nat inside source list 1 interface fa0/0 overload//配置NAT地址轉換,使用端口複用的形式。 R3(config)#int fa0/0 R3(config-if)#ip nat outside R3(config-if)#ex //應用爲outside端口 R3(config)#int fa0/1 R3(config-if)#ip nat inside //應用爲inside接口
下面是ASA的一些基本配置。
ASA(config)# int e0/0 ASA(config-if)# ip add 192.168.10.1 255.255.255.0 ASA(config-if)# no shut ASA(config-if)# nameif inside //配置inside內部區域IP地址 ASA(config-if)# ex ASA(config)# int e0/1 ASA(config-if)# ip add 10.0.0.1 255.255.255.0 ASA(config-if)# no shut ASA(config-if)# nameif outside//配置outside外部區域的IP地址 ASA(config-if)# ex ASA(config)# route outside 0 0 10.0.0.2//配置一條外部默認路由
以上配置完成,打開win 7虛擬機連接VMnet8網卡,然後測試與ASA防火牆10.0.0.1也就是對端的連通性。
下面配置內部局域網服務器端linux的配置,首先是IP地址配置。如下所示。
然後啓動apache網站服務,關閉防火牆和SElinux,順便也安裝一下FTP服務,用於上傳和下載文件,在FTP服務的目錄中創建一個文件,用於等會的測試。
以上準備工作全部完成,下面就是配置SSL ***的詳細過程。
ASA(config)# web*** //啓動SSL ***也就是web *** ASA(config-web***)# enable outside //在outside端口啓用 ASA(config-web***)# ex ASA(config)# username zhangsan password 123123//配置認證用戶 ASA(config)# group-policy ***-group internal //組策略定義在本地 ASA(config)# group-policy ***-group attributes //定義組策略屬性 ASA(config-group-policy)# ***-tunnel-protocol web***//啓用無客戶端模式web***,胖客戶端是svc。 ASA(config-group-policy)# ex ASA(config)# tunnel-group suidao type web*** //定義隧道組類型 ASA(config)# tunnel-group suidao general-attributes//定義隧道組通用屬性 ASA(config-tunnel-general)# default-group-policy ***-group//調用上面定義的組策略 ASA(config-tunnel-general)# authentication-server-group LOCAL//使用本地認證方式 ASA(config-tunnel-general)# ex ASA(config)# tunnel-group suidao web***-attributes //定義自身屬性 ASA(config-tunnel-web***)# group-alias groups enable //建立別名 ASA(config-tunnel-web***)# ex ASA(config)# web*** //進入SSL ***配置視圖 ASA(config-web***)# tunnel-group-list enable//啓用隧道組下拉列表 ASA(config-web***)# ex
到此SSL ***的一些配置就完成了,下面打開win 7客戶機的瀏覽器,輸入“https://對端IP”進行連接,要等個十幾二十秒。
連接成功之後,會出現提示上輸入用戶名和密碼的界面,然後輸入創建的認證用戶名和密碼,點擊logon登陸。
然後就會進入下面這個界面,此時就已經連接成功了,在中間的地址欄中輸入內部服務器linux的IP地址進行訪問即可。
下面是成功訪問linux搭建的apache服務網站。
再繼續來測試一下FTP服務,在address地址的位置下拉選擇FTP,然後在後面輸入IP地址。回車進行訪問。
可用看到linux的FTP服務器目錄下的兩個文件,直接點擊下載或者打開,查看文件裏面的內容。
實驗完成,此次實驗的目的主要在於ASA放火牆的SSL ***配置,當然的了前提條件的網絡拓撲要正常能夠連通才行。