ASA SSL *** Anyconnect SBL（Start Before Logon）用於在外網登錄域（上）

功能介紹：

       此功能用於用戶在外網進行域登錄。大家想想，只有用戶的終端設備處在企業內網時，用戶才能登錄域。那公司員工在外出差的情況下怎麼登錄域（員工肯定是沒有本地用戶的，只有域用戶）？那我們就要用到Ａnyconnect SBL 的功能，讓用戶登錄域之前通過***來接入企業內網。

應用場景拓撲：

如上圖所示，在圖一中用戶的電腦在內網中可以通過紅色線的路徑訪問DC服務器進行域登錄，在圖二中當用戶電腦處在外網時，用戶必須在進行域登錄之前先通過***接入企業內網。

實驗環境：

Server IP:10.1.1.100/24

ASA:Outside:202.100.1.254/24    Inside 10.1.1.254/24

內網PC:10.1.1.1/24 DNS:10.1.1.100

外網PC:202.100.1.100/24

軟件版本：asa804-k8.bin，anyconnect-win-2.5.6005-k9.pkg，anyconnect-win-3.1.00495-k9.pkg（因爲SBL 這個功能只有anyconnect 2.5及上版本才支持）

初始配置：

       ASA：                                                  

－－－－－ －－－－－－－－－－IP 初始化－－－－－－－－－－－－

ciscoasa(config)# sho run interface

       interface GigabitEthernet0/0

       nameif Inside

       security-level 100

       ip address 10.1.1.254 255.255.255.0

       no shutdown

       interface GigabitEthernet0/1

       nameif Outside

       security-level 0

       ip address 202.100.1.254 255.255.255.0

       no shutdown 
－－－－－－－－－－基本SSL *** Anyconnect配置－－－－－-－－－      

ciscoasa# sho run web***

       web***

       enable Outside

       svc image disk0:/anyconnect-win-2.5.6005-k9.pkg 1

       svc enable

ciscoasa(config)# sho run ip local pool

    ip local pool svc1 100.1.1.1-100.1.1.100

ciscoasa(config)# sho run group-policy

    group-policy DfltGrpPolicy attributes

    dns-server value 10.1.1.100

    ***-tunnel-protocol l2tp-ipsec svc web***

   address-pools value svc1

－－－－－－－－－－－－－ASDM  連接配置－－－－－－

因爲SBL 這個功能要用ASDM 配置，如果你硬要用CLI來做我也攔不到你，只要你做的到（通過CLI 來編寫XML文件，然後調用)

ciscoasa(config)# sho run http

    http server enable 500

    http 0.0.0.0 0.0.0.0 Outside

ciscoasa(config)# sho run aaa

    aaa authentication http console LOCAL

ciscoasa(config)# sho run username

    username svc1 password kRHNXQoFliPpegtM encrypted privilege 15

經上面的一系列配置已經完成了SSL *** anyconnect 的 配置，可以先用外網PC做一下連接測試：

 

（因爲我們用的默認group-policy ，認證方式默認是本地數據庫認證）

點擊連接：看到右下角連接成功。

－－－－－－－－－用ASDM進行SBL 功能配置－－－－－－－－－－－－

1、打開ASDM，連接到我們的ASA:

2、 打開configuration → Network (Client) Access →  AnyConnect Clinet Profile,點擊右邊的Add:  

3、 創建XML文件（高手可以在CLI中自己編，嘿嘿）。

 

現我們到CLI 中驗證一下：

①用dir 命令可以看到Flash下面多了一個sbl.xml的文件，這就是我們通過ASDM添加的。

②用show run group-policy,可以看到調用了一個叫sbl的策略文件：

③用more flash:/sbl.xml,在輸出中可以找到這樣一句代碼：

從顯示上來看這個就是關於SBL這個功能的，但是現在是fasle狀態，我們最後在來觀察這個地方的變化。

4、編輯剛纔創建的Anyconnect Client Profile ：sbl

鉤上Perferenes裏面的第一個選項：

現在我們在用more flash:/sbl.xml，可以看到

變成了

5、在組策略中調用sbl.xml文件和開啓可選客戶端模塊下載：

打開configuration → Network (Client) Access → Group Policies,選中DfltGrpPolicy,點編輯：

點擊Advanced → AnyConnect Client在Optional Client Modules to Download 中選AnyConnect SBL

在Client Profile to Download 中選中我們剛纔創建的sbl：

 

應用、保存。至此在ASA上的配置已經完成。在下篇中將做電腦上的配置和測試。